Мы разрабатываем спокойный API, который выполняет некоторые различные события. Мы выполнили сканирование уязвимостей Nessus, чтобы обнаружить утечки безопасности. Выяснилось, что некоторые утечки приводят к кликджекингу, и мы нашли решение. Я добавил x-frame-options
как SAMEORIGIN
для решения проблем.
Мой вопрос заключается в том, что, поскольку я являюсь API, нужно ли мне обрабатывать кликджекинг? Я предполагаю, что сторонний пользователь должен иметь доступ к моему API через iframe, и мне не нужно с этим справляться.
Я что-то пропустил? Не могли бы вы поделиться своими идеями?