我们有一个基于java的restapi Web应用程序,我正在尝试对它进行测试,并查看了restapi的owasp安全表:
https://www.owasp.org/index.php/REstrongecurity_Cheat_Sheet#Security_headers
正如owasp建议的那样,"此外,客户端应该发送一个X-Frame-Options:deny,以防止旧浏览器中的拖放点击劫持攻击。",然而,正如我所知,服务器通常发送这个x帧选项,而不是客户端,这是owasp的打字错误吗?此外,有了restapi请求,浏览器中看不到restapi调用,怎么会利用clickjacking呢!?
OWASP指南是一项社区工作。显然,该声明是在2012年左右引入的,见以下修订。这很可能是一个拼写错误,因为服务器应该发送X-Frame-Options标头,而不是浏览器。
在经典的RESTAPI中,从技术上讲没有办法执行点击劫持。一个非常牵强的想法可能是,如果您提供一个HAEOAS API并以HTML格式输出它。
我想说的是,继续关注其他安全方面,如身份验证、授权和泄露的敏感数据。试着跳出指导原则思考。有一次我发现了一个API,它也以base64格式返回用户密码,不那么聪明。。。