Niewykorzystywane X-FRAME-OPTIONS
Nagłówek X-FRAME-OPTIONS pojawił się w IE8 (IE8 Security Part VII: ClickJacking Defenses) w odpowiedzi na tak zwany clickjacking. Wykorzystanie tego nagłówka jest wciąż niewielkie: Adoption of X-FRAME-OPTIONS header co, przy potencjale jaki w sobie kryje clickjacking , może wydawać się dziwne. Z drugiej strony warto się zastanowić nad scenariuszami wykorzystania clickjacking , samo istnienie podatności to nie wszystko, konieczne jest jeszcze skonstruowanie skutecznego ataku. Tam, gdzie taki atak jest możliwy (i jego scenariusz nie przypomina wirusa albańskiego), nagłówek X-FRAME-OPTIONS warto stosować. W innych przypadkach też, zgodnie z zasadą defence-in-depth , choć... No właśnie, samo ustawienie nagłówka nie wystarczy, musi go jeszcze zrozumieć przeglądarka klienta, a z tym bywa już różnie. Każdy może sprawdzić to na prostym przykładzie: http://bootcamp.threats.pl/lesson15/. Przy okazji warto wspomnieć o Content Security Policy i frame-ancestors, choć to już nieco inna bajka.
Oryginał tego wpisu dostępny jest pod adresem Niewykorzystywane X-FRAME-OPTIONS
Autor: Paweł Goleń