web-dev-qa-db-ja.com

X-FRAME-OPTIONSを設定するには、サードパーティのフレームをロードする必要がありますか?

ヘッダーのセットX-Frame-OptionsをALLOW-FROMと同じOriginに設定しましたが、サードパーティのWebサイトのページの下に開く必要があります。ここにセキュリティの問題がありますか?

HTTP::header replace X-Frame-Options "SAMEORIGIN"

1

ドメインのホワイトリストを許可するALLOW-FROMディレクティブがありますが、これは 特定のブラウザでのみサポートされています です。

X-FRAME-OPTIONS(または新しいCSPの同等のフレーム祖先)を削除すると、サイトがクリックジャックや Cross Site History Manipulation などの他の攻撃に対して脆弱になる可能性があります。

クリックジャッキングは、本当にクリックする何かがある場合のリスクです。クリックが登録される前にユーザーが完了する必要がある他の入力がサイトにある場合、この脆弱性は悪用されません。ただし、サイトのすべての機能を確認しないと、これを判断するのは困難です。その後、サイトをさらに更新すると、知らないうちにこの脆弱性が悪用される可能性があります。多くの場合、ビジネス要件が確実にない限り、フレーミングを無効にした方が安全です。

1
SilverlightFox

From: X-Frame-Options応答ヘッダー

[〜#〜] sameorigin [〜#〜]

The page can only be displayed in a frame on the same Origin as the page itself.

あなたはすでにこれを知っていますが、私の知る限り、これに関する脆弱性があったことをお知らせします。そうすることで、clickjacking を防止することにより、Webアプリケーションにセキュリティの層を追加しましたが、これでは不十分な場合があります。 X-Frame-Optionsはあなたが考えるより価値がありません

1
user45139