Impostazione di alcune intestazioni di risposta solo se Referer non è valido

0

Mi sono imbattuto in questa tecnica e sono curioso di sapere se ci sono dei difetti in questo progetto. Un sito imposta l'intestazione di risposta X-Frame-Options per negare solo se l'intestazione Referer non è definita o non corrisponde al dominio del sito. Quando l'intestazione Referer è impostata sul dominio corretto, X-Frame-Options non è definito nella risposta.

C'è un difetto in questo? Credo che dipendere dall'intestazione Referer non sia sufficiente per impedire il clickjacking, ma non riesco a pensare a un caso d'uso reale.

    
posta user93264 30.11.2015 - 17:49
fonte

1 risposta

1

Qualsiasi intestazione fornita dal client può essere falsificata. Usando cURL, posso creare una richiesta HTTP per contenere qualsiasi intestazione che voglio. A seconda del referente è intelligente, ma intelligente non è abbastanza buono. Se realizzo la richiesta come iFrame, ho il controllo completo sull'intestazione della richiesta.

Ecco un caso d'uso, grazie alle brillanti menti di Stack Overflow: link

Sito web malvagio - > Script AJAX per precaricare le intestazioni - > Il tuo sito.

Aggiungi x-frame-options su ogni pagina in ogni caso, e usa gli script framebusting per i browser più vecchi.

    
risposta data 30.11.2015 - 19:31
fonte

Leggi altre domande sui tag