Мой проект имеет ExtJs в качестве внешнего интерфейса и загрузку Spring в качестве внутреннего интерфейса. ExtJs вызовет весеннюю загрузку, которая ответит JSON. Я хотел предотвратить атаку clickjacking
в своем проекте. У меня есть простой html-скрипт, который просто загружает веб-сайт в iframe. Если веб-сайт загружается в iframe, это означает, что он небезопасен. Я добавил следующие флаги X-Frame-Options: DENY and Content-Security-Policy: frame-ancestors 'none';
в ответ REST API весенней загрузки, чтобы предотвратить это. Но даже в этом случае это не мешает загрузке моего приложения в iframe
. Код для проверки возможности кликджекинга:
<html>
<head>
<title>Clickjack test page</title>
</head>
<body>
<p>Website is vulnerable to clickjacking!</p>
<iframe src="http://localhost:8000" width="1000" height="1000"></iframe>
</body>
</html>
`
Здесь localhost:8000
относится к URL-адресу extjs. Я исследовал и обнаружил, что проверки на стороне клиента для предотвращения кликджекинга не так эффективны. Итак, есть ли какие-либо варианты предотвращения атаки кликджекинга в моем проекте?
X-Frame-Options: DENY
находится в поле заголовков ответа - person Priya   schedule 06.01.2020