Защитить Nginx от Clickjacking с помощью X-FRAME-OPTIONS

Clickjacking — это хорошо известные уязвимости веб-приложений.

В этой статье я расскажу о том, как сделать то же самое на веб-сервере Nginx.

X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe.

Это предотвратит внесение содержимого сайта в другие сайты.

Вы пытались внедрить Google.com на свой сайт в качестве рамки? Вы не можете, потому что он защищен, и вы тоже можете защититься.

Для X-Frame-Options есть три параметра:
  1. SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница.
  2. DENY: этот параметр предотвратит отображение страницы в фрейме или iframe.
  3. ALLOW-FROM URI: этот параметр позволяет отображать страницу только по указанному источнику.

Как реализовать в Nginx?

Перейдите в папку Nginx / conf
Добавьте следующий параметр в nginx.conf в разделе сервера

 add_header X-Frame-Options "SAMEORIGIN"; 

Перезапустите веб-сервер Nginx

Как проверить реализацию?

Вы можете использовать любой инструмент веб-разработчика для просмотра заголовков ответов.

Кроме того, вы можете использовать онлайн-инструмент HTTP Header для проверки.

Это всего лишь одна из сотен улучшений безопасности для веб-сайта.

Если вы ищете полное решение для обеспечения безопасности, вы можете рассмотреть облачные провайдеры безопасности, такие как SUCURI, CloudFlare или Incapsula.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *