当服务器响应不是 HTML 格式时,是否推荐使用 X-Frame-Options 标头?
问题描述 投票:0回答:1
我目前正在审核 API,所有端点都以 JSON 格式向我发送响应。 我在 OWASP 网站上看到,当服务器响应 不是 HTML 格式时,只有 CSP、Permissions-Policy 和 Referrer-Policy 标头 不是必需的。
我的问题是:为什么不包含 X-Frame-Options 标头?
此标头可防止网页被 iframe 化,因此可能容易受到 clickjacking 攻击。 对于 HTML 以外的响应格式,我不认为拥有此标头有什么意义。
1个回答
0
投票
投票
您提供的屏幕截图的文档,https://cheatsheetseries.owasp.org/cheatsheets/REST_Security_Cheat_Sheet.html#security-headers,屏幕截图上方有一个表格,其中包含所有 API 响应的建议标头,包括X-Frame-Options 和 Content-Security-Policy 框架祖先。您显示的表格列出了 API 可能返回 html 时应包含的附加标头。
最新问题
- 使用 python、playwright 和 2captch 进行自动化时无法提交验证码
- 如何确保资源和嵌套资源是单一的?
- 生锈测试:未使用过的进口产品
- Selenium 无法定位任何元素
- 受控Z门没有效果
- 颤振中图像下方的步进器自定义视图
- 创建一个循环将数据从一个工作簿复制到另一个工作簿,然后将结果复制回原始工作簿
- dracut-install:找不到模块“hid-polostar”
- c++ 和 std::float64_t 如何使用它
- gdb - 哪个变量位于给定的堆栈地址
- Android Room:如何从关系表中提取数据?
- 如何在Delphi中使用记录实现Builder模式而不创建副本?
- 使用 cv2 和 Streamlit lib 时发生 Streamlit 部署错误
- GDB 可以调试通过没有可用源代码的程序启动的劣质进程吗?
- Configuration.set可以在Mapper中使用吗?
- 每次我尝试运行我的应用程序时,都会收到“运行‘main.dart’时出错:入口点不在 Flutter pub root 内”
- 在UILabel中显示分数
- 通过命令行或 powershell 5.1 调用时,Powershell 7.2 操作不起作用
- 多处理嵌套 DictProxy 对象不允许使用 .items()
- 如何让hadoop put创建不存在的目录
© www.soinside.com 2019 - 2024. All rights reserved.