CWE ID: 1021
Name: Improper Restriction of Rendered UI Layers or Frames
Die Webanwendung schränkt entweder nicht ein oder schränkt fälschlicherweise Frame-Objekte oder UI-Layer ein, die zu einer anderen Anwendung oder Domain gehören. Dies kann zu Verwirrung bei den Benutzern darüber führen, mit welcher Oberfläche sie interagieren.
Eine Webanwendung sollte Einschränkungen auferlegen, ob sie innerhalb von Frames, iframes, Objects, Embeds oder Applets dargestellt werden darf. Fehlen diese Restriktionen, besteht die Gefahr, dass Benutzer dazu verleitet werden, mit der Anwendung zu interagieren, ohne dies beabsichtigt zu haben. Dies kann zu einer Beeinträchtigung der User Experience und potenziellen Sicherheitsrisiken führen.
Effektivität: Unknown
Beschreibung: Diese Defense-in-Depth-Technik kann dazu verwendet werden, die unsachgemäße Nutzung von Frames in Webanwendungen zu verhindern. Sie priorisiert die legitimen Quellen für Daten, die in die Anwendung geladen werden, durch die Verwendung von deklarativen Policies. Abhängig von der verwendeten Implementierung von Content Security Policy sollte der Entwickler entweder die “frame-ancestors” Direktive oder die “frame-src” Direktive verwenden, um diese Schwachstelle zu mindern. Beide Direktiven ermöglichen die Festlegung von Restriktionen bezüglich der Zulassung eingebetteter Inhalte.
