Нужно ли устанавливать X-Frame-Options для страниц 404 Not Found
В листе защиты от Clickjacking OWASP рекомендует установить заголовок X-Frame-Options для всех ответов, содержащих содержимое HTML, но я не уверен, нужно ли устанавливать этот заголовок также для страниц 404 Not Found, которые содержат только это содержимое HTML (без любые ссылки):
<html><head><title>Error</title></head><body>404 - Not Found</body></html>
2 ответа
Если не требуется кадрирование, я бы всегда советовал X-FRAME-OPTIONS: Deny а также новая, стандартная политика безопасности контентаframe-ancestors директивы.
Причина в том, что существуют и другие атаки, такие как Манипуляции с историей нескольких сайтов (XSHM) и Импорт таблиц относительных путей (PRSSI), которые основаны на создании сайта жертвы.
Тем не менее, если ваша страница 404 не содержит "ничего для Clickjack", есть небольшая выгода в том, чтобы предотвратить создание фреймов здесь, чтобы предотвратить Clickjacking. PRSSI также требует, чтобы контент был динамичным, и XSHM не должен подвергаться влиянию временных атак, поскольку целевая страница все еще должна загружаться, прежде чем браузер узнает, что она не должна отображаться во фрейме.
Следовательно,
Нужно ли устанавливать X-Frame-Options для страниц 404 Not Found
Нет.
X-Frame-Options защищает от таких атак, как Clickjacking (когда злоумышленник использует iframes, чтобы прозрачно отображать ваш сайт поверх своего собственного контента, чтобы пользователь нажимал на невидимые элементы, которые пользователь не хотел), или такие вещи, как совершенный пиксель время атаки.
Если вас это не беспокоит (состояние приложения не может быть изменено на странице, а информация не подлежит краже), я думаю, вам не нужны X-Frame-Options.
Возможно, иногда проще настроить его так, чтобы компонент (в основном веб-сервер) просто добавлял заголовок ко всем ответам. Если это не так, я думаю, что вы можете иметь свою страницу 404 без X-Frame-Options, и это все еще хорошо.