Proteja Apache de Clickjacking con X-FRAME-OPTIONS
Implementar X-FRAME-OPTIONS en encabezados HTTP para prevent ataques de clickjacking
Clickjacking es una conocida vulnerabilidad de las aplicaciones web.
Por ejemplo, se utilizó como ataque a Twitter.
Para defender el ataque Clickjacking en su servidor web Apache, puede utilizar OPCIONES DE X-FRAME para evitar que su sitio web sea pirateado por Clickjacking.
La Opciones de marco X en el encabezado de respuesta HTTP se puede utilizar para indicarate si ab o norowsSe le debe permitir abrir una página en marco o iframe.
esto será prevcontenido del sitio entrante incrustado en otros sitios.
¿Alguna vez intentaste insertar Google.com en tu sitio web como marco? No puedes porque está protegido y tú también puedes protegerlo.
Hay tres configuraciones para X-Frame-Options:
- MISMO ORIGEN: Esta configuración permitirá que una página se muestre en un marco en el mismo origen que la página que contiene.self.
- NEGAR: Esta configuración prevEnt una página que se muestra en un marco o iframe.
- PERMITIR DESDE uri: Esta configuración permitirá que una página se muestre solo en el origen especificado.
Nota: también puede utilizar el encabezado de la Política de seguridad de contenido para controlar cómo desea que se incruste el contenido de su sitio. Referir este artículo para el encabezado de CSP.
Implementar en Apache, IBM HTTP Server
- Inicie sesión en el servidor Apache o IHS
- Hacer una copia de seguridad de un archivo de configuración
- Agregue la siguiente línea en
httpd.conf
presentar
Header always append X-Frame-Options SAMEORIGIN
- Reinicie el servidor web respectivo para probar la aplicación
Implementar en alojamiento web compartido
Si su sitio web está alojado en un alojamiento web compartido, no tendrá permiso para modificar httpd.conf.
Sin embargo, puede lograr esto agregando la siguiente línea en el .htaccess archivo.
Header append X-FRAME-OPTIONS "SAMEORIGIN"
El cambio se refleja inmediatamente.ately sin hacer ningún reinicio.
Verificación
Puede utilizar cualquier herramienta de desarrollo web para ver los encabezados de respuesta. También puede utilizar una herramienta en línea: Comprobador de encabezado para verificar.
¿Como le fue?
Si tiene un negocio en línea, puede considerar usar WAF en la nube para protección de seguridad todo en uno y monitoring.