Ho un dubbio sull'uso del Content Security Policy (CSP) come meccanismo di protezione contro il clickjacking.
Ho creato una prova di concetto (PoC) online su una pagina Web in cui ho inserito un pulsante che carica l'URL specificato in un campo di input che è attivo e in esecuzione su un server. Questo PoC serve per verificare se un sito è vulnerabile o meno e, in base a ciò, ho testato un sito che utilizza CSP per prevenire attacchi di tipo clickjacking. Il risultato sul mio PoC online mi dice che il sito non è vulnerabile perché non sono in grado di inquadrarlo, tuttavia, se ripeto il test utilizzando il modello statico fornito nel sito OWASP, allora sono in grado di vedere il contenuto della pagina web all'interno dell'elemento.
Quindi, ritengo che il sito potrebbe essere ancora vulnerabile e vorrei conoscere la tua opinione.
Ho notato che il CSP non viene restituito nell'intestazione quando utilizzo il PoC statico, credi che si tratti di un errore di programmazione che rende vulnerabile il sito?
Qualcuno l'ha mai provato prima?