Внедрим X-FRAME-OPTIONS в HTTP-заголовки для предотвращения атак Clickjacking
Clickjacking – известная уязвимость веб-приложений.
Например, она использовалась в качестве атаки на X (ранее известный как Twitter).
Чтобы защитить свой веб-сервер Apache от атаки Clickjacking, вы можете использовать X-FRAME-OPTIONS, чтобы избежать взлома вашего сайта с помощью Clickjacking.
Продолжение статьи Защитить Nginx от Clickjacking с помощью X-FRAME-OPTIONS
Параметр X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу во фрейме или iframe.
Это позволит предотвратить встраивание содержимого сайта в другие сайты.
Вы когда-нибудь пробовали встроить Google.com на свой сайт в виде фрейма?
Вы не сможете, потому что он защищен, и вы тоже можете его защитить.
Есть три настройки для X-Frame-Options:
- SAMEORIGIN: Эта настройка позволит отображать страницу во фрейме того же происхождения, что и сама страница.
- DENY: Эта настройка запретит отображение страницы во фрейме или iframe.
- ALLOW-FROM uri: Эта настройка позволит отображать страницу только в указанном месте происхождения.
Примечание: – Вы также можете использовать заголовок Content Security Policy, чтобы контролировать, как вы хотите, чтобы содержимое вашего сайта было встроено. О заголовке CSP читайте в этой статье.
Внедрение в Apache, IBM HTTP Server
- Войдите на сервер Apache или IHS
- Сделайте резервную копию конфигурационного файла
- Добавьте следующую строку в файл httpd.conf
Header always append X-Frame-Options SAMEORIGIN
- Перезапустите соответствующий веб-сервер, чтобы протестировать приложение
Реализация на общем хостинге
Если ваш сайт размещен на виртуальном хостинге, то у вас не будет прав на изменение httpd.conf.
Однако вы можете сделать это, добавив следующую строку в файл .htaccess.
Header append X-FRAME-OPTIONS "SAMEORIGIN"
Изменения отражаются немедленно, без перезагрузки.
Верификация
Для просмотра заголовков Response можно использовать любой инструмент веб-разработчика.
Также для проверки можно использовать онлайн-инструмент Header Checker.
см. также:
- 🌐 Заголовки безопасности HTTP – полное руководство
- 🕶️ Как проверить, является ли система RHEL/CentOS уязвимой по CVE
- 🌐 Nginx: советы по настройке безопасности
- 10 онлайн инструментов для тестирования SSL, TLS и последних уязвимостей
- Плюсы и минусы переключения вашего сайта с HTTP на HTTPS