Fügen Sie X-Frame-Optionen im HTTP-Header hinzu, um NGINX vor Clickjacking-Angriffen zu schützen
Clickjacking ist eine bekannte Sicherheitslücke in Webanwendungen.
In meinem letzten Beitrag habe ich darüber gesprochen, wie man sichert Apache Web Server, IBM HTTP Server und .htaccess und einige von Ihnen fragten nach Nginx.
Also los geht's ...
Dieses X-Frame-Optionen In HTTP kann der Antwortheader verwendet werden, um anzugeben, ob ein Browser eine Seite in Frame oder Iframe öffnen darf.
Dadurch wird verhindert, dass Website-Inhalte in andere Websites eingebettet werden.
Haben Sie bei jedem Versuch versucht, Google.com als Frame in Ihre Website einzubetten? Sie können nicht, weil es geschützt ist und Sie können es auch schützen.
Es gibt drei Einstellungen für X-Frame-Optionen:
- GLEICHERORIGIN: Mit dieser Einstellung kann die Seite in einem Rahmen am selben Ursprung wie die Seite selbst angezeigt werden.
- VERWEIGERN: Diese Einstellung verhindert, dass eine Seite in einem Frame oder Iframe angezeigt wird.
- ERLAUBEN VON URI: Mit dieser Einstellung kann eine Seite nur am angegebenen Ursprung angezeigt werden.
Hinweis: Sie können es auch versuchen CSP-Frame-Vorfahren um den eingebetteten Inhalt zu steuern.
Implementation
- Gehen Sie zu Nginx und dann zu einem conf-Ordner
- Erstellen Sie vor dem Ändern ein Backup
- Fügen Sie den folgenden Parameter hinzu
nginx.confunter Serverbereich
add_header X-Frame-Options "SAMEORIGIN";- Starten Sie den Nginx-Webserver neu
Verification
Sie können ein Webentwickler-Tool im Browser verwenden, um Antwortheader anzuzeigen. Es sollte so aussehen.
Alternativ können Sie auch verwenden HTTP-Header-Online-Tool um dies zu überprüfen.
Ich hoffe das hilft. Weitere Informationen zur Sicherheit finden Sie unter my Nginx Hardening & Security Leitfaden.
Das ist gerecht eine der Hunderten von Sicherheitsupdates für eine Website. Wenn Sie nach einer vollständigen Sicherheitslösung suchen, können Sie Cloud-basierte Sicherheitsanbieter wie z SUKURIoder Cloudflare.
