Является ли смысл добавлять "x-frame-options" в Restful API

Мы разрабатываем надежный API, который выполняет некоторые различные события. Мы проверили уязвимость Nessus, чтобы увидеть утечки безопасности. Оказалось, что у нас есть некоторые утечки, которые приводят к кликнированию, и мы нашли решение. Я добавил x-frame-options как SAMEORIGIN для решения проблем.

Мой вопрос здесь в том, что, поскольку я API, мне нужно обрабатывать clickjacking? Я предполагаю, что сторонний пользователь должен иметь доступ к моему API через iframe, и мне не нужно его обрабатывать.

Я что-то пропустил? Не могли бы вы поделиться своими идеями?

Ответ 1

Изменить 2019-10-07: @Taytay PR объединено, поэтому в рекомендации OWASP теперь говорится, что сервер должен отправить заголовок X-Frame-Options.


Оригинальный ответ:

OWASP рекомендует клиентам отправлять заголовок X-Frame-Options, но не упоминает сам API.

Я не вижу сценария, в котором API имеет какой-либо смысл возвращать заголовки безопасности с использованием clickjacking - в iframe нечего нажимать!

Ответ 2

OWASP рекомендует, что вы не только отправляете заголовок X-Frame-Options, но и устанавливаете его в DENY.

Это рекомендации не для веб-сайта, а для службы REST.

Сценарий, в котором имеет смысл делать это, - это именно тот, о котором упомянул OP - запуск сканирования уязвимости.

Если вы не вернете правильный заголовок X-Frame-Options, сканирование завершится неудачно. Это важно, когда вы доказываете клиентам, что ваша конечная точка в безопасности.

Гораздо проще предоставить вашему клиенту пропущенный отчет, чем аргументировать, почему недостающий заголовок не имеет значения.

Добавление заголовка X-Frame-Options не должно влиять на пользователя конечной точки, поскольку он не является браузером с iframe.