Impostazione dell'intestazione HTTP X-Frame-Options DENY per le risorse statiche

Naviga le tue risposte
2

Controllo la sicurezza della mia applicazione Django tramite uno scanner di sicurezza e mi chiedo se sia utile impostare l'intestazione X-Frame-Options DENY sulle risorse statiche come CSS, immagini o file JS?

Suppongo che si possa ottenere il caricamento di un file HTML camuffato come qualcos'altro (come un'immagine) e comunque essere servito allo stesso modo, e quindi essere in grado di eseguire JS sul mio dominio (accedendo così ad alcuni cookie). Ma non è collegato all'essere eseguito in un iframe, quindi non riesco a vedere alcun vettore di attacco da cui questa intestazione mi possa proteggere.

Ho già impostato l'intestazione sul resto del mio sito Web (tutte le visualizzazioni gestite da Django stesso).

    
posta Mickaël 09.03.2016 - 18:07
fonte

1 risposta

1

Quindi, dopo la breve conversazione per chiarezza nei commenti sulla domanda di apertura e la scoperta di un po 'di più (come quella che non consentono il caricamento sul server), la risposta è semplice No, non dovrebbe danneggiarlo . Infatti nel caso semplice che una persona malintenzionata ottiene il codice sul server in qualche modo, questo potrebbe aiutarlo, tuttavia in tal caso penso che tu abbia un problema molto più grande di cui preoccuparti.

In realtà si tratta di più di una domanda "Voglio che qualcun altro abbia accesso alle mie risorse statiche all'interno di un frame?", nel qual caso la risposta è solitamente un no.

    
risposta data 10.03.2016 - 00:49
fonte

Leggi altre domande sui tag

Ci sono forti motivi tecnici per i browser che richiedono TLS per http2? Come configurare il servizio di bilanciamento del carico F5 e il server di back-end entrambi con certificati SSL