È necessario impostare anche l'intestazione X-Frame-Options per i file JS?

0

Ho aggiunto l'intestazione X-Frame-Options per i miei file HTML dal server web stesso. Devo ancora aggiungerlo per altri file statici come CSS e JS (che servo da cloudfront / s3)?

    
posta live_alone 26.02.2018 - 08:15
fonte

1 risposta

1

No. Il motivo per cui abbiamo bisogno dell'XFO (o del corrispondente CSP frame- antenati direttiva) è clickjacking . Il clickjacking non è un problema per i file JS o CSS, quindi non è necessario impostare l'intestazione dell'XFO per loro. Ma farlo non fa davvero male, quindi per salvarti dagli errori di configurazione potresti anche impostarlo per tutte le risorse. È più semplice in questo modo.

Sembra che tu stia impostando l'intestazione dal file HTML? In tal caso, ecco una nota di OWASP :

Meta-tags that attempt to apply the X-Frame-Options directive DO NOT WORK. For example, ) will not work. You must apply the X-FRAME-OPTIONS directive as HTTP Response Header as described above.

    
risposta data 26.02.2018 - 10:30
fonte

Leggi altre domande sui tag