使用X-FRAME-OPTIONS确保Apache免受点击劫持
在 HTTP 标头中实施 X-FRAME-OPTIONS 以防止点击劫持攻击。
点击劫持是 Web 应用程序中的一个众所周知的漏洞。
例如,它被用来攻击Twitter。
为了防御 Apache Web 服务器上的点击劫持攻击,您可以使用FRAMING OPTIONS来防止您的网站被点击劫持攻击。
HTTP 响应头中的X -Frame-Options可用于指示是否允许浏览器在框架或 iframe 中打开页面。
这将阻止该网站的内容被集成到其他网站中。技术支持联系微信或者WhatsApp:+8618062443671。
您是否尝试过将 Google.com 作为框架集成到您的网站中?你不能,因为它受到保护,你也可以保护它。
X-Frame-Options 共有三种设置:
SAMEORIGIN:此参数允许您在与页面本身同源的框架中显示页面。
DENY:此设置阻止页面在框架或 iframe 中显示。
ALLOW-FROM uri:此参数允许您仅显示指定来源的页面。
注意: – 您还可以使用内容安全策略标头来控制网站内容的嵌入方式。有关 CSP 标头,请参阅本文。
在 Apache、IBM HTTP Server 中实现
连接到 Apache 或 IHS 服务器
保存配置文件
将以下行添加到httpd.conf文件中
L'en-tête est toujours annexé X-Frame-Options SAMEORIGIN
或者
The header is always appended X-Frame-Options SAMEORIGIN
重新启动受影响的 Web服务器以测试应用程序
共享虚拟主机中的实施
如果您的网站托管在共享主机上,您将无权修改 httpd.conf。
但是,您可以通过在.htaccess文件中添加以下行来实现此目的。
Appendice d'en-tête X-FRAME-OPTIONS "SAMEORIGIN"
更改会立即反映出来,无需重新启动系统。
确认
您可以使用任何 Web 开发工具来查看响应标头。也可以使用在线工具——Header Checker来检查。
进展如何?
如果您经营在线业务,您可以考虑使用基于云的WAF进行一体化安全防护和监控。