いくつかのさまざまなイベントを満たす安らかな API を開発しています。Nessus 脆弱性スキャンを実行して、セキュリティ リークを確認しました。クリックジャッキングにつながるリークがいくつかあることが判明し、解決策を見つけました。x-frame-options問題を処理するためにasを追加しSAMEORIGINました。
ここでの私の質問は、私は API であるため、クリックジャッキングを処理する必要があるかということです。サードパーティのユーザーは iframe を介して API にアクセスできるはずであり、これを処理する必要はないと思います。
私は何かが恋しいですか?あなたのアイデアを教えてください。
OWASP は、X-Frame-Options ヘッダーを送信するだけでなく、それを DENY に設定することをお勧めします。
これらは Web サイトではなく、REST サービスに対する推奨事項です。
これを行うことが理にかなっているシナリオは、OPが言及したものとまったく同じです-脆弱性スキャンを実行しています。
正しい X-Frame-Options ヘッダーを返さない場合、スキャンは失敗します。これは、エンドポイントが安全であることを顧客に証明するときに重要です。
欠落しているヘッダーが重要ではない理由を議論するよりも、合格レポートを顧客に提供する方がはるかに簡単です。
X-Frame-Options ヘッダーを追加しても、iframe を備えたブラウザーではないため、エンドポイント コンシューマーには影響しません。