Controllo la sicurezza della mia applicazione Django tramite uno scanner di sicurezza e mi chiedo se sia utile impostare l'intestazione X-Frame-Options DENY
sulle risorse statiche come CSS, immagini o file JS?
Suppongo che si possa ottenere il caricamento di un file HTML camuffato come qualcos'altro (come un'immagine) e comunque essere servito allo stesso modo, e quindi essere in grado di eseguire JS sul mio dominio (accedendo così ad alcuni cookie). Ma non è collegato all'essere eseguito in un iframe, quindi non riesco a vedere alcun vettore di attacco da cui questa intestazione mi possa proteggere.
Ho già impostato l'intestazione sul resto del mio sito Web (tutte le visualizzazioni gestite da Django stesso).