是否有必要为404未找到的页设置X帧选项？

Question

在Clickjacking Defense备忘单中，OWASP建议为所有包含HTML内容的响应设置X框架选项头，但我不确定是否有必要为仅包含此HTML内容(没有链接)的404 not页设置此标头：

<html><head><title>Error</title></head><body>404 - Not Found</body></html>

Answer 1

除非需要设置框架，否则我总是建议设置X-FRAME-OPTIONS: Deny以及新的标准frame-ancestors指令。

原因是，像跨站点历史操作(XSHM)和路径相关样式表导入(PRSSI)这样的其他攻击都依赖于被陷害的站点。

这就是说，如果您的404页面“没有什么可点击的”，那么防止在这里进行框化以防止点击攻击是没有什么好处的。PRSSI还要求内容是动态的，XSHM不应该在定时攻击方面受到真正的影响，因为在浏览器不知道在框架中显示它之前，目标页面仍然需要加载。

因此，

是否有必要为404未找到的页设置X帧选项？

不是的。

Answer 2

X框架选项可以防止像Clickjacking这样的攻击(攻击者使用iframes在自己的内容上透明地显示您的站点，以便用户单击用户不想看到的内容)，或者像像素完美定时攻击这样的东西。

如果您不担心这些(应用程序状态不能在页面上更改，并且没有信息被窃取)，我认为您不需要严格地使用X帧选项。

有时候，用组件(主要是web服务器)将头添加到所有响应的方式设置起来可能更容易。如果你不是这样的话，我想你可以在没有X帧选项的情况下拥有404页面，这仍然很好。