Ho aggiunto l'intestazione X-Frame-Options per i miei file HTML dal server web stesso. Devo ancora aggiungerlo per altri file statici come CSS e JS (che servo da cloudfront / s3)?
Ho aggiunto l'intestazione X-Frame-Options per i miei file HTML dal server web stesso. Devo ancora aggiungerlo per altri file statici come CSS e JS (che servo da cloudfront / s3)?
No. Il motivo per cui abbiamo bisogno dell'XFO (o del corrispondente CSP frame- antenati direttiva) è clickjacking . Il clickjacking non è un problema per i file JS o CSS, quindi non è necessario impostare l'intestazione dell'XFO per loro. Ma farlo non fa davvero male, quindi per salvarti dagli errori di configurazione potresti anche impostarlo per tutte le risorse. È più semplice in questo modo.
Sembra che tu stia impostando l'intestazione dal file HTML? In tal caso, ecco una nota di OWASP :
Meta-tags that attempt to apply the X-Frame-Options directive DO NOT WORK. For example, ) will not work. You must apply the X-FRAME-OPTIONS directive as HTTP Response Header as described above.