CSP Frame-Ancestors Value
Checker ID: #10
v0.1.1
CSP Frame-Ancestors Value
Importância
Definir um valor seguro para a diretiva frame-ancestors previne que o conteúdo do site seja renderizado por origens desconhecidas dentro de <frames> ou <iframes>. Isso neutraliza tentativas de Clickjacking, onde um atacante sobrepõe uma camada transparente sobre o site legítimo para enganar o usuário a clicar em botões ou links sem perceber.
Descrição Técnica
Analisa a resposta HTTP retornada pelo servidor do website sob teste para confirmar se a diretiva frame-ancestors do cabeçalho Content-Security-Policy (CSP) está configurada com um valor seguro.
Cenários de Teste
Cenário Aprovado: O parâmetro frame-ancestors contém o valor 'none' (ninguém pode renderizar o site por meio de <frames> ou <iframes>)
Content-Security-Policy: frame-ancestors 'none';
Cenário Reprovado: O parâmetro frame-ancestors contém o valor * (qualquer um pode renderizar o site por meio de <frames> ou <iframes>)
Content-Security-Policy: frame-ancestors *;
Cenário Reprovado: O parâmetro frame-ancestors contém o valor 'self' (apenas o próprio site pode renderizar suas páginas por meio de <frames> ou <iframes>)
Content-Security-Policy: frame-ancestors 'self';