Proteja Apache del clickjacking con X-FRAME-OPTIONS

Implemente X-FRAME-OPTIONS en las cabeceras HTTP para evitar ataques de Clickjacking

El clickjacking es una conocida vulnerabilidad de las aplicaciones web.

Por ejemplo, se utilizó como ataque contra X (antes conocido como Twitter).

Para defender el ataque Clickjacking en su servidor web Apache, puede utilizar X-FRAME-OPTIONS para evitar que su sitio web sea hackeado por Clickjacking.

Las X-Frame-Options en la cabecera de respuesta HTTP se pueden utilizar para indicar si se debe permitir o no a un navegador abrir una página en marco o iframe.

Esto evitará que el contenido del sitio se incruste en otros sitios.

¿Ha intentado alguna vez incrustar Google.com en su sitio web como marco? No puede porque está protegido y usted también puede protegerlo.

Existen tres ajustes para X-Frame-Options:

SAMEORIGIN: Esta configuración permitirá que una página se muestre en un marco con el mismo origen que la propia página.
DENY: Este ajuste impedirá que una página se muestre en un marco o iframe.
ALLOW-FROM uri: Este ajuste permitirá que una página se muestre sólo en el origen especificado.

Nota: – también puede utilizar la cabecera Política de seguridad de contenidos para controlar cómo desea que se incruste el contenido de su sitio. Consulte este artículo para la cabecera CSP.

Implementar en Apache, IBM HTTP Server

Inicie sesión en el servidor Apache o IHS
Haga una copia de seguridad de un archivo de configuración
Añada la siguiente línea en el archivo httpd.conf

Añada siempre la cabecera X-Frame-Options SAMEORIGIN

Reinicie el servidor web correspondiente para probar la aplicación

Implementar en alojamiento web compartido

Si su sitio web está alojado en un alojamiento web compartido, entonces no tendrá permiso para modificar httpd.conf.

Sin embargo, puede lograrlo añadiendo la siguiente línea en el archivo .htaccess.

Cabecera append X-FRAME-OPTIONS "SAMEORIGIN"

El cambio se refleja inmediatamente sin necesidad de reiniciar.

Verificación

Puede utilizar cualquier herramienta para desarrolladores web para ver las cabeceras de respuesta. También puede utilizar una herramienta en línea – Header Checker para verificar.

¿Cómo ha ido?

Si está dirigiendo un negocio en línea, entonces puede considerar el uso de Cloud WAF para una protección y monitorización de seguridad todo en uno.

Chandan Kumar
Colaborador
- LinkedIn
Chandan Kumar is a technology enthusiast and entrepreneur who is passionate about helping businesses and individuals around the world. As the founder of Geekflare, Chandan has created valuable content and resources for businesses and individuals around the world.

Chandan’s expertise spans many technological domains, including cybersecurity, cloud computing, artificial intelligence, IT infrastructure, and DevOps. His insights and advice have helped organizations like BNP Paribas, Citibank, Deutsche Bank, Motorola navigate the ever-evolving digital landscape and achieve their strategic goals.

Beyond his technical prowess, Chandan believes strongly in the importance of education and knowledge sharing. His dedication to technology and education has earned him recognition as a thought leader in the industry. He wants to travel the world and help professionals and businesses grow.

Expertise: Business Growth, Business Software, Digital Growth, Cybersecurity, Artificial Intelligence, IT Infrastructure
Education: MBA in International Business from Arcadia University