क्या एक अस्थायी एपीआई

Question

में 'x-frame-options' जोड़ने का अर्थ यह है कि हम एक आरामदायक एपीआई विकसित कर रहे हैं जो कुछ विभिन्न घटनाओं को पूरा करता है। सुरक्षा लीक देखने के लिए हमने नेसस भेद्यता स्कैन किया है। यह पता चला कि हमारे पास कुछ रिसाव क्लिकजैकिंग की ओर जाता है और हमें समाधान मिल गया है। समस्याओं को संभालने के लिए मैंने x-frame-optionsSAMEORIGIN के रूप में जोड़ा है।

मेरा प्रश्न यह है कि, क्योंकि मैं एक एपीआई हूं, क्या मुझे क्लिकजैकिंग को संभालने की ज़रूरत है? मुझे लगता है कि तृतीय पक्ष उपयोगकर्ता आईफ़्रेम पर मेरे एपीआई तक पहुंचने में सक्षम होना चाहिए और मुझे इसे संभालने की आवश्यकता नहीं है।

क्या मुझे कुछ याद आती है? क्या आप अपने विचार साझा कर सकते हैं?

Answer 1

OWASP recommendsग्राहक एक एक्स-फ़्रेम-विकल्प शीर्षलेख भेजें, लेकिन एपीआई का कोई उल्लेख नहीं करता है।

मुझे कोई परिदृश्य नहीं दिखता है जहां एपीआई के लिए सुरक्षा हेडर पर क्लिक करने के लिए एपीआई के लिए कोई समझ नहीं आता है - iframe में क्लिक करने के लिए कुछ भी नहीं है!

Answer 2

OWASP recommends कि न केवल आप एक्स-फ़्रेम-विकल्प शीर्षलेख भेजते हैं, लेकिन यह डेनी पर सेट है।

ये वेबसाइटों के लिए नहीं बल्कि एक आरईएसटी सेवा के लिए सिफारिशें हैं।

परिदृश्य जहां यह करने के लिए समझ में आता है वह ओपी का उल्लेख है - एक भेद्यता स्कैन चला रहा है।

यदि आप सही एक्स-फ़्रेम-विकल्प शीर्षलेख नहीं लौटाते हैं तो स्कैन विफल हो जाएगा। यह महत्वपूर्ण है कि ग्राहकों को साबित करते हुए कि आपका एंडपॉइंट सुरक्षित है।

अपने ग्राहक को गुजरने की रिपोर्ट के मुकाबले एक गुजरने वाली रिपोर्ट प्रदान करना बहुत आसान है कि क्यों लापता हेडर कोई फर्क नहीं पड़ता।

एक्स-फ़्रेम-विकल्प शीर्षलेख जोड़ना एंडपॉइंट उपभोक्ता को प्रभावित नहीं करना चाहिए क्योंकि यह आईफ्रेम वाला ब्राउज़र नहीं है।