Burp suite - Frameable response (potential Clickjacking)

這個弱點主要在講目標頁面是可以被iframe給引用，而存在Clickjacking的可能。這樣講或許很神，可以參考以下兩個連結:

1. What is Clickjacking? 直接看畫面你就懂了。
2. Description

要解決這個問題的方法，就是在response header引入X-Frame-Options: DENY，完全避免frame的使用方式；或者使用X-Frame-Options: SAMEORIGIN，讓只有same origin的網頁才能引用。

而我會特別整理這篇內容，主要是想了解到底REST API的情境下，是否需要處理這個問題。OWASP REST Security Cheat Sheet中其實有建議response header必須要包含X-Frame-Options: DENY，後來查了以下兩篇文章並獲得一些結論:

• Is it Meaningful to Add 'x-frame-options' in an Restful API?
• OWASP security guideline to protect restapi against clickjacking, are they acurate?

結論:

1. REST API的內容還是有可能回應HTML，如果有HTML就存在Clickjacking風險。
2. 加Header是為了通過vulnerability scan，給客戶完美的報表。XD~