🌐 Защита Apache от Clickjacking с помощью X-FRAME-OPTIONS |
Главная » Мануал

🌐 Защита Apache от Clickjacking с помощью X-FRAME-OPTIONS

Мануал
На чтение 2 мин Опубликовано

Внедрим X-FRAME-OPTIONS в HTTP-заголовки для предотвращения атак Clickjacking

Clickjacking – известная уязвимость веб-приложений.

Например, она использовалась в качестве атаки на X (ранее известный как Twitter).

Чтобы защитить свой веб-сервер Apache от атаки Clickjacking, вы можете использовать X-FRAME-OPTIONS, чтобы избежать взлома вашего сайта с помощью Clickjacking.

Продолжение статьи Защитить Nginx от Clickjacking с помощью X-FRAME-OPTIONS

Параметр X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу во фрейме или iframe.

Это позволит предотвратить встраивание содержимого сайта в другие сайты.

Вы когда-нибудь пробовали встроить Google.com на свой сайт в виде фрейма?

Вы не сможете, потому что он защищен, и вы тоже можете его защитить.

Есть три настройки для X-Frame-Options:

  • SAMEORIGIN: Эта настройка позволит отображать страницу во фрейме того же происхождения, что и сама страница.
  • DENY: Эта настройка запретит отображение страницы во фрейме или iframe.
  • ALLOW-FROM uri: Эта настройка позволит отображать страницу только в указанном месте происхождения.

Примечание: – Вы также можете использовать заголовок Content Security Policy, чтобы контролировать, как вы хотите, чтобы содержимое вашего сайта было встроено. О заголовке CSP читайте в этой статье.

Содержание
  1. Внедрение в Apache, IBM HTTP Server
  2. Реализация на общем хостинге
  3. Верификация

Внедрение в Apache, IBM HTTP Server

  • Войдите на сервер Apache или IHS
  • Сделайте резервную копию конфигурационного файла
  • Добавьте следующую строку в файл httpd.conf
Header always append X-Frame-Options SAMEORIGIN
  • Перезапустите соответствующий веб-сервер, чтобы протестировать приложение

Реализация на общем хостинге

Если ваш сайт размещен на виртуальном хостинге, то у вас не будет прав на изменение httpd.conf.

Однако вы можете сделать это, добавив следующую строку в файл .htaccess.

Header append X-FRAME-OPTIONS "SAMEORIGIN"

Изменения отражаются немедленно, без перезагрузки.

Верификация

Для просмотра заголовков Response можно использовать любой инструмент веб-разработчика.

Также для проверки можно использовать онлайн-инструмент Header Checker.

см. также:

 

web security
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий