使用X-FRAME-OPTIONS确保Apache免受点击劫持

在 HTTP 标头中实施 X-FRAME-OPTIONS 以防止点击劫持攻击。

点击劫持是 Web 应用程序中的一个众所周知的漏洞。

例如，它被用来攻击Twitter。

为了防御 Apache Web 服务器上的点击劫持攻击，您可以使用FRAMING OPTIONS来防止您的网站被点击劫持攻击。

HTTP 响应头中的X -Frame-Options可用于指示是否允许浏览器在框架或 iframe 中打开页面。

这将阻止该网站的内容被集成到其他网站中。技术支持联系微信或者WhatsApp：+8618062443671。

您是否尝试过将 Google.com 作为框架集成到您的网站中？你不能，因为它受到保护，你也可以保护它。

X-Frame-Options 共有三种设置：

SAMEORIGIN：此参数允许您在与页面本身同源的框架中显示页面。
DENY：此设置阻止页面在框架或 iframe 中显示。
ALLOW-FROM uri：此参数允许您仅显示指定来源的页面。
注意： – 您还可以使用内容安全策略标头来控制网站内容的嵌入方式。有关 CSP 标头，请参阅本文。

在 Apache、IBM HTTP Server 中实现
连接到 Apache 或 IHS 服务器
保存配置文件
将以下行添加到httpd.conf文件中

L'en-tête est toujours annexé X-Frame-Options SAMEORIGIN

或者

The header is always appended X-Frame-Options SAMEORIGIN

重新启动受影响的 Web服务器以测试应用程序
共享虚拟主机中的实施
如果您的网站托管在共享主机上，您将无权修改 httpd.conf。

但是，您可以通过在.htaccess文件中添加以下行来实现此目的。

Appendice d'en-tête X-FRAME-OPTIONS "SAMEORIGIN"

更改会立即反映出来，无需重新启动系统。

确认
您可以使用任何 Web 开发工具来查看响应标头。也可以使用在线工具——Header Checker来检查。

进展如何？

如果您经营在线业务，您可以考虑使用基于云的WAF进行一体化安全防护和监控。