使用X-FRAME-OPTIONS确保Apache免受点击劫持

网站技术教程 - 程序员技术栈 - 网站安全技术 AnWenGlobal 8个月前 (09-18) 103次浏览 0个评论 扫描二维码

使用X-FRAME-OPTIONS确保Apache免受点击劫持

在 HTTP 标头中实施 X-FRAME-OPTIONS 以防止点击劫持攻击。

点击劫持是 Web 应用程序中的一个众所周知的漏洞。

例如,它被用来攻击Twitter。

为了防御 Apache Web 服务器上的点击劫持攻击,您可以使用FRAMING OPTIONS来防止您的网站被点击劫持攻击。

HTTP 响应头中的X -Frame-Options可用于指示是否允许浏览器在框架或 iframe 中打开页面。

这将阻止该网站的内容被集成到其他网站中。技术支持联系微信或者WhatsApp:+8618062443671。

您是否尝试过将 Google.com 作为框架集成到您的网站中?你不能,因为它受到保护,你也可以保护它。

X-Frame-Options 共有三种设置:

SAMEORIGIN:此参数允许您在与页面本身同源的框架中显示页面。
DENY:此设置阻止页面在框架或 iframe 中显示。
ALLOW-FROM uri:此参数允许您仅显示指定来源的页面。
注意: – 您还可以使用内容安全策略标头来控制网站内容的嵌入方式。有关 CSP 标头,请参阅本文。

在 Apache、IBM HTTP Server 中实现
连接到 Apache 或 IHS 服务器
保存配置文件
将以下行添加到httpd.conf文件中

L'en-tête est toujours annexé X-Frame-Options SAMEORIGIN

或者

The header is always appended X-Frame-Options SAMEORIGIN

重新启动受影响的 Web服务器以测试应用程序
共享虚拟主机中的实施
如果您的网站托管在共享主机上,您将无权修改 httpd.conf。

但是,您可以通过在.htaccess文件中添加以下行来实现此目的。

Appendice d'en-tête X-FRAME-OPTIONS "SAMEORIGIN"

更改会立即反映出来,无需重新启动系统。

确认
您可以使用任何 Web 开发工具来查看响应标头。也可以使用在线工具——Header Checker来检查。

进展如何?

如果您经营在线业务,您可以考虑使用基于云的WAF进行一体化安全防护和监控。

喜欢 (1)
[请扫码关注微信公众号]
分享 (0)

您必须 登录 才能发表评论!