防禦

[資安]Clickjacking: X-Frame-Options header

其實 淺談IFrame式Clickjacking攻擊與防護 這篇文章就寫得很好了,他主要是來防禦別人把你的網站內砍到他家網站,然後騙你點下去,然後就可以偷偷的開放權限、身分確認等等的,所以大的網站基本上都會防這個(如google fb之類 難怪以前有想把google設定到iframe裡面去就會一片空白,當然有其他解決方式就是)

下面這個動畫就可以解釋這個的問題

解決方法就是在httpd.conf裡面多加一條

Header always append X-Frame-Options SAMEORIGIN

裡面SAMEORIGIN你可以替換掉,不過基本上應該都是會想選這個

  • DENY表示文件無論如何都不能被嵌入到 frame 中,即使是自家網站也不行。
  • SAMEORIGIN唯有當符合同源政策下,才能被嵌入到 frame 中。
  • ALLOW-FROM uri唯有列表許可的 URI 才能嵌入到 frame 中。

重開apache後可以到 X-Frame-Options Header Test 這裡做測試

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)