gpt4 book ai didi

rest - OWASP 安全指南保护 rest api 免受点击劫持,它们准确吗?

转载 作者:行者123 更新时间:2023-12-04 15:51:06 28 4
gpt4 key购买 nike

我们有一个基于 java 的 restapi web 应用程序,我正在尝试对其进行渗透测试,并且我查看了 restapi 的 owasp 安全表:

https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Security_headers

正如 owasp 所建议的,“此外,客户端应该发送 X-Frame-Options: deny 以防止旧浏览器中的拖放式点击劫持攻击。”,但是,据我所知,服务器通常发送此 x-frame-options,而不是客户端,这是 owasp 的拼写错误吗?此外,对于 rest api 请求,如何利用点击劫持,因为在浏览器中看不到 restapi 调用!?

最佳答案

OWASP 指南是一项社区工作。显然该声明是在 2012 年左右引入的,请参见以下 revision .这很可能是一个拼写错误,因为服务器应该发送 X-Frame-Options header ,而不是浏览器。

在传统的 REST API 中,从技术上讲没有办法执行点击劫持。一个非常牵强的想法可能是,如果你服务于 HATEOAS API并以 HTML 格式输出。

我会说继续关注其他安全方面,例如身份验证、授权和泄露的敏感数据。尝试在准则之外思考。一旦我发现一个 API 也以 base64 格式返回用户密码,不太聪明......

关于rest - OWASP 安全指南保护 rest api 免受点击劫持,它们准确吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53829303/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com