Vamos a decir que tiene un widget de JavaScript que necesita disparar una solicitud a su aplicación web si y solo si el usuario desea hacer clic en ella. No desea que esta solicitud sea vulnerable a CSRF, por lo que debe escribir un iframe en la página. Basado en laorigin reglas de herencia el sitio principal no podrá leer el token CSRF. Sin embargo, ¿qué pasa con el clickjacking (o likejacking)? Debido a CSRF, debe estar dentro de un iframe y estar allí para el x-frame-options no puede ayudar, y lo mismo es cierto para frame-busters.

l atacante va a aplicar unaSVG máscara el iframe después de que se haya cargado el widget. Esta máscara hará que el iframe sea invisible. En este punto, el atacante puede cambiar el tamaño del iframe para que sea del tamaño de la página o hacer que este iframe invisible siga el cursor. De cualquier manera, cada vez que el usuario hace clic en cualquier lugar de la página, el iframe recibe el evento de clic y termina su juego.

Así que hay una dualidad, parece que estás atrapado entre CSRF y Clickjacking. ¿Cuál es la mejor solución (si la hay) para este problema?