Clickjacking – это хорошо известные уязвимости веб-приложений.
В этой статье я расскажу о том, как сделать то же самое на веб-сервере Nginx.
X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe.
Это предотвратит внесение содержимого сайта в другие сайты.
Вы пытались внедрить Google.com на свой сайт в качестве рамки? Вы не можете, потому что он защищен, и вы тоже можете защититься.
- SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница.
- DENY: этот параметр предотвратит отображение страницы в фрейме или iframe.
- ALLOW-FROM URI: этот параметр позволяет отображать страницу только по указанному источнику.
Как реализовать в Nginx?
Перейдите в папку Nginx / conf
Добавьте следующий параметр в nginx.conf в разделе сервера
add_header X-Frame-Options "SAMEORIGIN";
Перезапустите веб-сервер Nginx
Как проверить реализацию?
Вы можете использовать любой инструмент веб-разработчика для просмотра заголовков ответов.
Кроме того, вы можете использовать онлайн-инструмент HTTP Header для проверки.
Это всего лишь одна из сотен улучшений безопасности для веб-сайта.
Если вы ищете полное решение для обеспечения безопасности, вы можете рассмотреть облачные провайдеры безопасности, такие как SUCURI, CloudFlare или Incapsula.