si dovrebbe usare il codice "framekiller" per evitare che altri incorporino le pagine https negli iframe?

Naviga le tue risposte
1

Ho trovato varie discussioni su come https fosse incorporato negli iframe per vari motivi. L'ho testato e ho visto che un sito banca sfugge all'iframe e l'altro consente di essere incorporato in un iframe.

Google, ad esempio, non viene caricato in un iframe. Drupal, come un cmd, non sembra che CMS abbia una tale funzionalità integrata.

C'è un lato negativo nell'usare codice o script di framekiller per evitare click jack e altri tipi di attacchi sul proprio sito?

Non sarebbe una buona pratica farlo in generale?

    
posta NamSandStorm 20.10.2015 - 11:18
fonte

2 risposte

1

Is there a down side to using framekiller code or scripts to avoid click jacking and other types of attacks on one's site?

Penso che potrebbero esserci due aspetti negativi principali per i framekiller:

  • Se JavaScript è disabilitato (dalla vittima, o se l'autore dell'attacco è riuscito a farlo su una vittima), la tua pagina non è più protetta contro il clickjacking
  • Che cosa succede se un utente desidera visitare il tuo sito Web utilizzando il suo telefono? I telefoni non hanno molte risorse e sono noti per essere più lenti delle normali macchine (computer) per gestire i pesanti webpaes (intendo il caricamento di JavaScript / AJAX)

Would it not be good practice to do this in general?

Perché non risolvere questo problema di clickjacking sul lato server usando X-Frame-Options ?

    
risposta data 20.10.2015 - 13:01
fonte
1

Generalmente vale sempre la pena, o piuttosto non fa male e può prevenire attacchi di clickjacking.

Ovviamente dipende dallo scenario di utilizzo. Ad esempio, se il contenuto che stai creando deve essere visualizzato in un iframe (forse una rete pubblicitaria), probabilmente non vorrai uscire dal frame.

Una buona risorsa da leggere sui vari approcci per l'implementazione di questo può essere trovata qui .

Un'altra cosa da tenere a mente che può in qualche modo dare un falso senso di sicurezza, è un po 'un gioco del gatto e del topo per quanto riguarda gli attacchi di clickjacking e le misure difensive. Aggiungere una protezione per il clickjacking ben implementata al tuo sito è fantastico e sicuramente vale la pena farlo, ma dovrai controllarlo periodicamente per assicurarti che sia ancora adatto allo scopo, come tutto il resto quando si tratta di sicurezza:)

Modifica

Volevo solo chiarire che la difesa del clickjacking dovrebbe includere sia X-Frame-Options che un po 'di javascript per i browser più vecchi che non supportano le intestazioni di X-Frame-Options. Il livello javascript della difesa ha diverse limitazioni che però vengono anche disattese su questa pagina .

    
risposta data 20.10.2015 - 12:06
fonte

Leggi altre domande sui tag

È così facile decifrare un file SAM di Windows? Un SSL jolly funzionerà correttamente per un sottodominio record A che punta a un altro dominio / sito web?