Implemente X-FRAME-OPTIONS en los encabezados HTTP para evitar ataques de Clickjacking
Clickjacking es una conocida vulnerabilidad de las aplicaciones web.
Por ejemplo, se utilizó como ataque a Twitter.
Para defender el ataque Clickjacking en su servidor web Apache, puede utilizar OPCIONES DE X-FRAME para evitar que su sitio web sea pirateado por Clickjacking.
El Opciones de marco X en el encabezado de respuesta HTTP se puede usar para indicar si se debe permitir o no que un navegador abra una página en marco o iframe.
Esto evitará que el contenido del sitio se incruste en otros sitios.
¿Alguna vez intentaste insertar Google.com en tu sitio web como marco? No puedes porque está protegido y tú también puedes protegerlo.
Hay tres configuraciones para X-Frame-Options:
- MISMO ORIGEN: Esta configuración permitirá que una página se muestre en un marco en el mismo origen que la propia página.
- NEGAR: Esta configuración evitará que una página se muestre en un marco o iframe.
- PERMITIR DESDE uri: Esta configuración permitirá que una página se muestre solo en el origen especificado.
Nota: también puede utilizar el encabezado de la Política de seguridad de contenido para controlar cómo desea que se incruste el contenido de su sitio. Referir este artículo para el encabezado de CSP.
Implement in Apache, IBM HTTP Server
- Inicie sesión en el servidor Apache o IHS
- Hacer una copia de seguridad de un archivo de configuración
- Agregue la siguiente línea en
httpd.conf
presentar
Header always append X-Frame-Options SAMEORIGIN
- Reinicie el servidor web respectivo para probar la aplicación
Implement in Shared Web Hosting
Si su sitio web está alojado en un alojamiento web compartido, no tendrá permiso para modificar httpd.conf.
Sin embargo, puede lograr esto agregando la siguiente línea en el .htaccess archivo.
Header append X-FRAME-OPTIONS "SAMEORIGIN"
El cambio se refleja inmediatamente sin necesidad de reiniciar.
Verification
Puede utilizar cualquier herramienta de desarrollo web para ver los encabezados de respuesta. También puede utilizar una herramienta en línea: Comprobador de encabezado para verificar.
¿Como le fue?
Si tiene un negocio en línea, puede considerar usar WAF en la nube para protección y supervisión de seguridad todo en uno.