È significativo aggiungere "x-frame-options" in un'API Restful

Question

Stiamo sviluppando un'API riposante che soddisfa alcuni eventi diversi. Abbiamo fatto una scansione di vulnerabilità Nessus per vedere le falle di sicurezza. Si è scoperto che abbiamo alcune perdite che portano al clickjacking e abbiamo trovato la soluzione. Ho aggiunto x-frame-options come SAMEORIGIN per gestire i problemi.

La mia domanda qui è che, poiché sono un'API, devo gestire il clickjacking? Immagino che l'utente di terze parti dovrebbe essere in grado di raggiungere la mia API su un iframe e non ho bisogno di gestirlo.

Mi manca qualcosa? Potresti per favore condividere le tue idee?

Answer 1

OWASP recommends che clienti invia un'intestazione X-Frame-Options, ma non fa menzione dell'API stessa.

Non vedo alcun scenario in cui abbia senso che l'API restituisca intestazioni di sicurezza clickjacking - non c'è nulla da fare clic su un iframe!

Answer 2

OWASP recommends che non solo si invia un'intestazione X-Frame-Options ma che è impostata su DENY.

Queste sono raccomandazioni non per un sito Web ma per un servizio REST.

Lo scenario in cui ha senso farlo è esattamente quello indicato dall'OP: eseguire una scansione delle vulnerabilità.

Se non si restituisce un'intestazione X-Frame-Options corretta, la scansione non riuscirà. Ciò è importante quando si dimostra ai clienti che il proprio endpoint è sicuro.

È molto più semplice fornire al cliente un report di passaggio che discutere perché un'intestazione mancante non ha importanza.

L'aggiunta di un'intestazione X-Frame-Options non dovrebbe influire sull'utente finale poiché non è un browser con un iframe.