Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Chandan Kumar in Nginx  |  Dernière mise à jour : 6 septembre 2022
Partager sur:

Sécurisez Nginx contre le détournement de clic avec X-FRAME-OPTIONS

détournement de clics nginx
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Ajoutez X-Frame-Options dans l'en-tête HTTP pour sécuriser NGINX contre l'attaque Clickjacking

Clickjacking est une vulnérabilité d'application Web bien connue.

Dans mon dernier message, j'ai expliqué comment sécuriser Serveur Web Apache, serveur HTTP IBM et .htaccess et certains d'entre vous ont posé des questions sur Nginx.

Alors voilà…

La solution Options X-Frame dans l'en-tête de réponse HTTP peut être utilisé pour indiquer si un navigateur doit être autorisé ou non à ouvrir une page dans un cadre ou une iframe.

Cela empêchera le contenu du site intégré dans d'autres sites.

Avez-vous tous essayé d'intégrer Google.com sur votre site Web en tant que cadre? Vous ne pouvez pas car il est protégé et vous pouvez le protéger aussi.

Il existe trois paramètres pour les options X-Frame:

  1. SAMEORIGINE: Ce paramètre permettra à la page d'être affichée dans un cadre sur la même origine que la page elle-même.
  2. NIER: Ce paramètre empêchera l'affichage d'une page dans un cadre ou une iframe.
  3. URI AUTORISER: Ce paramètre permettra à une page d'être affichée uniquement sur l'origine spécifiée.

Remarque: vous pouvez également essayer Ancêtres du cadre CSP pour contrôler l'intégration du contenu.

Implementation

  • Allez à l'endroit où Nginx est installé, puis dans un dossier conf
  • Faites une sauvegarde avant de modifier
  • Ajoutez le paramètre suivant dans nginx.conf sous la section serveur
add_header X-Frame-Options "SAMEORIGIN";
  • Redémarrez le serveur Web Nginx

Verification

Vous pouvez utiliser un outil de développement Web dans le navigateur pour afficher les en-têtes de réponse. Ça devrait ressembler à ça.

nginx-sameorigin

Alternativement, vous pouvez également utiliser Outil en ligne HTTP Header pour vérifier cela.

J'espère que ça aide. Pour en savoir plus sur la sécurité, consultez mon Guide de durcissement et de sécurité Nginx.

Ceci est juste l'un des centaines de correctifs de sécurité pour un site Web. Si vous recherchez une solution de sécurité complète, vous pouvez envisager des fournisseurs de sécurité basés sur le cloud comme SUCURIou Cloudflare.

Merci à nos commanditaires
Plus de bonnes lectures sur Nginx
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder