srcmini本文概述
在HTTP标头中实现X-FRAME-OPTIONS以防止Clickjacking攻击
Clickjacking是一个众所周知的Web应用程序漏洞。
例如, 它被用作对Twitter的攻击。
为了防御Apache Web服务器上的Clickjacking攻击, 可以使用X-FRAME-OPTIONS来避免你的网站受到Clickjacking的攻击。
HTTP响应标头中的X-Frame-Options可用于指示是否应允许浏览器打开框架或iframe页面。
这样可以防止将网站内容嵌入其他网站。
你是否尝试过将Google.com嵌入框架中?你不能因为它受到保护而也可以对其进行保护。
X-Frame-Options有三种设置:
- SAMEORIGIN:此设置将允许页面以与页面本身相同的原点显示在框架中。
- 拒绝:此设置将阻止页面在框架或iframe中显示。
- ALLOW-FROM uri:此设置将仅在指定的原点上显示页面。
注意:–你还可以使用”内容安全策略”标头来控制你希望如何嵌入网站内容。有关CSP标头, 请参阅本文。
在Apache, IBM HTTP Server中实施
- 登录到Apache或IHS服务器
- 备份配置文件
- 在httpd.conf文件中添加以下行
Header always append X-Frame-Options SAMEORIGIN- 重新启动相应的Web服务器以测试应用程序
在共享虚拟主机中实施
如果你的网站托管在共享虚拟主机上, 则你无权修改httpd.conf。
但是, 你可以通过在.htaccess文件中添加以下行来实现。
Header append X-FRAME-OPTIONS "SAMEORIGIN"更改会立即反映出来, 而无需重新启动。
验证
你可以使用任何Web开发人员工具来查看”响应”标题。你也可以使用在线工具–标头检查器进行验证。
怎么样了
如果你正在运行在线业务, 则可以考虑使用Cloud WAF进行多合一安全保护和监视。
评论前必须登录!
注册