Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

Proteja Apache de Clickjacking con X-FRAME-OPTIONS

ataque de clickjacking
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Implemente X-FRAME-OPTIONS en los encabezados HTTP para evitar ataques de Clickjacking

Clickjacking es una conocida vulnerabilidad de las aplicaciones web.

Por ejemplo, se utilizó como ataque a Twitter.

Para defender el ataque Clickjacking en su servidor web Apache, puede utilizar OPCIONES DE X-FRAME para evitar que su sitio web sea pirateado por Clickjacking.

El Opciones de marco X en el encabezado de respuesta HTTP se puede usar para indicar si se debe permitir o no que un navegador abra una página en marco o iframe.

Esto evitará que el contenido del sitio se incruste en otros sitios.

¿Alguna vez intentaste insertar Google.com en tu sitio web como marco? No puedes porque está protegido y tú también puedes protegerlo.

Hay tres configuraciones para X-Frame-Options:

  1. MISMO ORIGEN: Esta configuración permitirá que una página se muestre en un marco en el mismo origen que la propia página.
  2. NEGAR: Esta configuración evitará que una página se muestre en un marco o iframe.
  3. PERMITIR DESDE uri: Esta configuración permitirá que una página se muestre solo en el origen especificado.

Nota: también puede utilizar el encabezado de la Política de seguridad de contenido para controlar cómo desea que se incruste el contenido de su sitio. Referir este artículo para el encabezado de CSP.

Implement in Apache, IBM HTTP Server

  • Inicie sesión en el servidor Apache o IHS
  • Hacer una copia de seguridad de un archivo de configuración
  • Agregue la siguiente línea en httpd.conf presentar
Header always append X-Frame-Options SAMEORIGIN
  • Reinicie el servidor web respectivo para probar la aplicación

Implement in Shared Web Hosting

Si su sitio web está alojado en un alojamiento web compartido, no tendrá permiso para modificar httpd.conf.

Sin embargo, puede lograr esto agregando la siguiente línea en el .htaccess archivo.

Header append X-FRAME-OPTIONS "SAMEORIGIN"

El cambio se refleja inmediatamente sin necesidad de reiniciar.

Verification

Puede utilizar cualquier herramienta de desarrollo web para ver los encabezados de respuesta. También puede utilizar una herramienta en línea: Comprobador de encabezado para verificar.

¿Como le fue?

Si tiene un negocio en línea, puede considerar usar WAF en la nube para protección y supervisión de seguridad todo en uno.

Gracias a nuestros patrocinadores
Más lecturas excelentes sobre Apache HTTP
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder