Sto cercando di capire quando Framebusting dovrebbe e non dovrebbe essere usato. Al primo pennello, vorrei applicarlo a tutte le pagine del mio sito e generare eccezioni, se necessario.
D'altra parte, se dovessi adottare un approccio minimalista, penserei che vorrei applicare questa sicurezza alla mia pagina di accesso.
C'è qualche ragione per cui non dovrei applicare framebusting a una pagina di accesso?
Esistono altre best practice correlate?
Da quello che ho visto Framebusting come tecnica sta diventando un po 'deprecato come difesa dagli attacchi di tipo click-jacking a favore dell'impostazione dell'intestazione di X-Frame-Options (es. la pagina OWASP qui e qui ). Il supporto del browser per le intestazioni di X-Frame-Options sembra tornare a IE8 quindi, a meno che tu non abbia un vecchio set di browser per supportarlo, dovrebbe funzionare bene.
Quindi la risposta breve è che raccomando di andare su quella linea piuttosto che usare Framebusting Javascript.
Leggi altre domande sui tag authentication openid web-application appsec