È necessario utilizzare X-FRAME-OPTIONS per impedire gli attacchi di ClickJacking?

3

Uso questo codice Javascript e funziona perfettamente:

if (top.location != location) top.location.href = location.href

Molti ricercatori mi hanno detto di non usarlo.

Qualcuno può aggirarlo?

Ci sono dei rischi nell'utilizzo di questo, se sì cosa?

Uno di questi mi ha detto che un utente malintenzionato può ridefinire la variabile location :

var location = 'foo';

Ma in Google Chrome, sembra che non funzioni

    
posta wking77 18.07.2015 - 06:32
fonte

2 risposte

6

Stai parlando di attacchi ClickJacking . (Il titolo era diverso prima della mia modifica)

Can any one bypass it?

Sì, questo può essere aggirato quando si carica la pagina in un iframe. Purtroppo non ho il codice al momento. Tuttavia, ciò che può essere fatto è disabilitare javascript durante il caricamento dell'iframe. Questo eviterà il codice di busting del frame. (A mio modesto parere non esiste il codice frame busting

Is it neccessary to use X-FRAME-OPTIONS to prevent ClickJacking attacks?

Per i browser più recenti è lo standard per prevenire gli attacchi di ClickJacking. Non vedo un motivo per non usarlo, poiché è abbastanza semplice aggiungere l'intestazione extra per ogni risposta.

One of them told me that an attacker can redefine the location variable:

var location = 'foo';

Poiché non viene visualizzato tutto il codice, è difficile dire se questo sia sfruttabile o meno. L'unica cosa che posso vedere da questa riga di codice è che l'attaccante potrebbe attaccare il proprio browser modificando la posizione della variabile, che è inutile.

    
risposta data 18.07.2015 - 07:38
fonte
4

Can any one bypass it?

Sì. Questo può essere uno con l'attributo sandbox. Con questo attributo l'esecuzione di Javascript all'interno dell'iframe può essere disabilitata e quindi il codice del frame buster non verrà eseguito. Inoltre, alcuni client potrebbero avere l'esecuzione di Javascript disabilitato come quando si utilizza l'estensione del browser NoScript.

Per maggiori informazioni vedi link e per un confronto scientifico dei metodi di frame busting e di come possono essere fatti fallire vedere link .

    
risposta data 18.07.2015 - 08:44
fonte

Leggi altre domande sui tag