Come possiamo prevenire un attacco di clickjacking usando iframe, ecc., nell'applicazione core MVC?
Come possiamo prevenire un attacco di clickjacking usando iframe, ecc., nell'applicazione core MVC?
Se la tua applicazione è ospitata con IIS puoi attivare l'intestazione X-Frame-Options in web.config.
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
Altri modi per usare X-Frame-Options sono descritti qui .
Un approccio più moderno potrebbe utilizzare la politica di sicurezza dei contenuti.
Content-Security-Policy: frame-ancestors 'none';
Per i browser più vecchi che non comprendono queste intestazioni potresti anche utilizzare uno script framekiller , ma questo è obsoleto e non sempre completamente sicuro.
Un modo è aggiungere le intestazioni HTTP alla tua risposta come descritto in un'altra risposta. Questo è comune a qualsiasi applicazione Web e le seguenti sono le opzioni che è possibile utilizzare.
Dato che hai chiesto informazioni su .Net Core, in questo modo puoi implementare la sicurezza nel tuo middleware.
app.UseXfo(o=>o.Deny());
Puoi usare qualsiasi opzione nel tuo middleware nel tuo codice.
Leggi altre domande sui tag asp.net-core clickjacking