Checkmarx | Potential Clickjacking on Legacy Browsers

2024-06-14

問題

最近同事將 aspx 程式給 Checkmarx 掃時，
aspx 會出現 JavaScript 的 Potential Clickjacking on Legacy Browsers 問題。

主要是因為這支程式中有<script>區段，Checkmarx 就會噴那個問題。

Potential Clickjacking on Legacy Browsers的問題是怕正常的網頁被放在 IFrame 之中，
來騙使用者進行非預期的操作，例如Clickjacking詐騙的網頁中放一個改密碼的 iframe，
去覆蓋在原有的頁面上面，讓使用者實際上是操作到 iframe 的頁面。

解法

所以解法可透過設定X-Frame-Options及Content Security Policy (CSP)來避免，
例如在 web.config中設定如下，

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
	<system.webServer>
		<httpProtocol>
		  <customHeaders>
			<add name="X-Frame-Options" value="SAMEORIGIN" />
			<add name="Content-Security-Policy" value="frame-ancestors 'self'"/>
		  </customHeaders>
		</httpProtocol>
	</system.webServer>
</configuration>

但上面的方式 Checkmarx 不認得，所以就只能用程式來解，如下，

1
2
3

if (top !== self) {
    top.location = self.location;
}

但這樣子加上去後，又噴了Client_DOM_XSS及Client_DOM_Open_Redirect的問題，
針對 self.location 要進行Client_DOM_XSS及Client_DOM_Open_Redirect處理，
所以可以使用encodeURI來處理Client_DOM_XSS，
用白名單 Function 來處理Client_DOM_Open_Redirect，如下

if (top !== self) {
    //top.location = self.location;
    var u = encodeURI(self.location);
    var newU = sanitizeUrl(u)
    top.location = newU;
}

functin sanitizeUrl(url){
    var allowedDomains = ["白名單的Domain，例如 rm.com.tw"];
    var u = new URL(url);
    if (allowedDomains.includes(u.hostname)) {
        return url;
    }else{
        throw new Error('Parameter is not a number!');
    }
}

註 1: 白名單 Function 要以sanitize開頭
註 2: Checkmarx 版本為 V 9.5.5.1007 HF14
註 3: aspx 會有這個問題是因為 aspx 裡面有寫 <script> 才會有問題

參考資源

OWASP Top 10 - 2017 Examples - ASP.NET MVC 5

一個蛋，不能算一隻雞: 假設就是假設，不能當作事實。

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true