.Net Core MVC Incontro di clickjacking [chiuso]

-2

Come possiamo prevenire un attacco di clickjacking usando iframe, ecc., nell'applicazione core MVC?

    
posta Rithu Bimasha 17.07.2017 - 07:03
fonte

2 risposte

3

Se la tua applicazione è ospitata con IIS puoi attivare l'intestazione X-Frame-Options in web.config.

<httpProtocol>
  <customHeaders>
    <add name="X-Frame-Options" value="DENY" />
  </customHeaders>
</httpProtocol>

Altri modi per usare X-Frame-Options sono descritti qui .

Un approccio più moderno potrebbe utilizzare la politica di sicurezza dei contenuti.

Content-Security-Policy: frame-ancestors 'none';

Per i browser più vecchi che non comprendono queste intestazioni potresti anche utilizzare uno script framekiller , ma questo è obsoleto e non sempre completamente sicuro.

    
risposta data 17.07.2017 - 09:55
fonte
1

Un modo è aggiungere le intestazioni HTTP alla tua risposta come descritto in un'altra risposta. Questo è comune a qualsiasi applicazione Web e le seguenti sono le opzioni che è possibile utilizzare.

  • DENY:
  • SAMEORIGIN: consenti solo al tuo dominio
  • ALLOW-FROM: puoi specificare qualsiasi dominio per consentire

Dato che hai chiesto informazioni su .Net Core, in questo modo puoi implementare la sicurezza nel tuo middleware.

app.UseXfo(o=>o.Deny());

Puoi usare qualsiasi opzione nel tuo middleware nel tuo codice.

    
risposta data 17.07.2017 - 10:26
fonte

Leggi altre domande sui tag