さまざまなイベントを実行する安らかなAPIを開発しています。 Nessusの脆弱性スキャンを実行してセキュリティリークを確認しました。いくつかのリークがクリックジャックにつながっていることが判明し、解決策が見つかりました。問題を処理するためにx-frame-optionsをSAMEORIGINと追加しました。「x-frame-options」を安らかなAPIに追加することは意味があります
ここで私の質問は、私はAPIなので、クリックジャックを処理する必要があるのですか?私は第三者のユーザーがiframeを介して私のAPIに到達できるはずだと思います。私はこれを処理する必要はありません。
私は何か不足していますか?アイデアを共有していただけますか?
OWASP recommendsクライアントは、X-Frame-Optionsヘッダーを送信しますが、API自体については言及しません。
クリックジャックのセキュリティヘッダーをAPIが返しても意味がないシナリオはありません。iframeには何もクリックされません。
OWASP recommends X-Frame-Optionsヘッダーを送信するだけでなく、DENYに設定するだけでなく、
これらはウェブサイトではなく、RESTサービスの推奨事項です。
これを行うのが理にかなっているシナリオは、脆弱性スキャンを実行しているOPとまったく同じです。
正しいX-Frame-Optionsヘッダーが返されない場合、スキャンは失敗します。これは、エンドポイントが安全であることを顧客に証明する際に重要です。
お客様に、不足しているヘッダーが重要でない理由を主張する必要がある場合よりも、お客様に合理的なレポートを提供する方がずっと簡単です。
Xフレームオプションヘッダーを追加しても、iframeを持つブラウザーではないため、エンドポイントコンシューマーには影響しません。
リンクされた記事のセクションには、「さらにクライアントはX-Frame-Options:deny」を送信する必要があります。 _client_です。 _server_ではありません。 – nickspoon