gpt4 book ai didi

api - 在Restful API中添加 'x-frame-options'是否有意义

转载 作者:行者123 更新时间:2023-12-03 14:55:08 24 4
gpt4 key购买 nike

我们正在开发一个 Restful API,该API可以满足各种事件。我们进行了Nessus漏洞扫描,以查看安全漏洞。原来,我们有一些泄漏导致点击劫持,我们已经找到了解决方案。我已将x-frame-options添加为SAMEORIGIN来处理问题。

我的问题是,由于我是API,是否需要处理点击劫持?我猜第3方用户应该可以通过iframe访问我的API,而我不需要进行处理。

我想念什么吗?您能否分享您的想法?

最佳答案

编辑2019-10-07: @Taytay的PR已被合并,因此OWASP建议现在说服务器应该发送X-Frame-Options header 。

原始答案:

OWASP recommends,即客户端发送X-Frame-Options header ,但未提及API本身。

我看不到任何情况对API返回clickjacking安全 header 都有意义-在iframe中无需单击任何内容!

关于api - 在Restful API中添加 'x-frame-options'是否有意义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34044966/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com