我们有一个基于Java的RestAPI Web应用程序,我正在尝试进行渗透测试,并查阅了OWASP RestAPI安全表。
https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Security_headers
根据OWASP的建议,“此外,客户端应发送X-Frame-Options:deny以保护较旧的浏览器免受拖放点击劫持攻击。”然而,我所知,通常是服务器发送此x-frame-options,而不是客户端,这是OWASP的笔误吗?另外,对于REST API请求,点击劫持如何被利用,因为REST API调用在浏览器中不可见!