X-FRAME 보안이슈 관련
- 작성자 :
- 주*호
- 작성일 :
- 2017-08-18 16:29:20
- 조회수 :
- 1,097
- 구분 :
- 운영환경
- 진행상태 :
- 완료
Q
안녕하세요
저희가 http://troy.labs.daum.net 화면에서 테스트를 진행중인데 X-FRAME 옵션이 걸려있어 화면 테스트가 안됩니다.
저희가 사용하고 있는 프레임워크 버전이 3.1인데 X-FRAME 옵션을 제거하여도 보안상에 문제가 없는지 알고 싶습니다.
감사합니다.
저희가 http://troy.labs.daum.net 화면에서 테스트를 진행중인데 X-FRAME 옵션이 걸려있어 화면 테스트가 안됩니다.
저희가 사용하고 있는 프레임워크 버전이 3.1인데 X-FRAME 옵션을 제거하여도 보안상에 문제가 없는지 알고 싶습니다.
감사합니다.
A
안녕하십니까, 주성호님
표준프레임워크센터입니다.
X-Frame-Options는 ClickJacking 공격을 보안상 막아주는 옵션입니다.
내부프로젝트의 경우 X-Frame-Options 을 제거해서 사용하셔도 무방하나,
외부프로젝트의 경우 옵션을 제거할 경우 ClickJacking 공격을 받을 우려가 있습니다.
테스트 시 옵션을 해제하고 테스트 하신 후 X-Frame-Options을 서비스에서 다시 설정하시는 방법도 있으니 참고해주시기 바랍니다.
보안 이슈가 발생할 수 있는 만큼 사업단 정책에 따라 결정을 하신 후 옵션의 유/무 여부를 결정해주시면 될거같습니다.
감사합니다.
표준프레임워크센터입니다.
X-Frame-Options는 ClickJacking 공격을 보안상 막아주는 옵션입니다.
내부프로젝트의 경우 X-Frame-Options 을 제거해서 사용하셔도 무방하나,
외부프로젝트의 경우 옵션을 제거할 경우 ClickJacking 공격을 받을 우려가 있습니다.
테스트 시 옵션을 해제하고 테스트 하신 후 X-Frame-Options을 서비스에서 다시 설정하시는 방법도 있으니 참고해주시기 바랍니다.
보안 이슈가 발생할 수 있는 만큼 사업단 정책에 따라 결정을 하신 후 옵션의 유/무 여부를 결정해주시면 될거같습니다.
감사합니다.