Sécurisez Apache contre le Clickjacking avec X-FRAME-OPTIONS

Implémenter X-FRAME-OPTIONS dans les en-têtes HTTP pour prévenir les attaques de Clickjacking

Le détournement de clic est une vulnérabilité bien connue des applications web.

Par exemple, elle a été utilisée pour attaquer X (anciennement connu sous le nom de Twitter).

Pour défendre votre serveur web Apache contre les attaques de Clickjacking, vous pouvez utiliser X-FRAME-OPTIONS pour éviter que votre site web ne soit piraté par le Clickjacking.

Les X-Frame-Options dans l’en-tête de réponse HTTP peuvent être utilisées pour indiquer si un navigateur doit être autorisé ou non à ouvrir une page dans un cadre ou une iframe.

Cela permet d’éviter que le contenu d’un site soit intégré dans d’autres sites.

Avez-vous déjà essayé d’intégrer Google.com à votre site web sous forme de cadre ? Vous ne pouvez pas car il est protégé et vous pouvez également le protéger.

Il existe trois paramètres pour X-Frame-Options :

SAMEORIGIN: ce paramètre permet à une page d’être affichée dans un cadre sur la même origine que la page elle-même.
DENY: Ce paramètre empêche l’affichage d’une page dans un cadre ou une iframe.
ALLOW-FROM uri: Ce paramètre autorise l’affichage d’une page uniquement à l’origine spécifiée.

Note : – vous pouvez également utiliser l’en-tête Content Security Policy pour contrôler la manière dont vous souhaitez que le contenu de votre site soit intégré. Consultez cet article pour en savoir plus sur l’en-tête CSP.

Mise en œuvre dans Apache, IBM HTTP Server

Connectez-vous au serveur Apache ou IHS
Faites une sauvegarde d’un fichier de configuration
Ajoutez la ligne suivante dans le fichier httpd.conf

L'en-tête ajoute toujours X-Frame-Options SAMEORIGIN

Redémarrez le serveur web concerné pour tester l’application

Mise en œuvre dans un hébergement Web partagé

Si votre site web est hébergé sur un hébergement mutualisé, vous n’aurez pas la permission de modifier httpd.conf.

Cependant, vous pouvez y parvenir en ajoutant la ligne suivante dans le fichier .htaccess.

Appendice d'en-tête X-FRAME-OPTIONS "SAMEORIGIN"

Le changement est répercuté immédiatement sans qu’il soit nécessaire de redémarrer le site.

Vérification

Vous pouvez utiliser n’importe quel outil de développement web pour visualiser les en-têtes de réponse. Vous pouvez également utiliser un outil en ligne – Header Checker – pour vérifier.

Comment cela s’est-il passé ?

Si vous gérez une entreprise en ligne, vous pouvez envisager d’utiliser le Cloud WAF pour bénéficier d’une protection et d’une surveillance de la sécurité tout-en-un.

Chandan Kumar
Contributeur
- LinkedIn
Chandan Kumar is a technology enthusiast and entrepreneur who is passionate about helping businesses and individuals around the world. As the founder of Geekflare, Chandan has created valuable content and resources for businesses and individuals around the world.

Chandan’s expertise spans many technological domains, including cybersecurity, cloud computing, artificial intelligence, IT infrastructure, and DevOps. His insights and advice have helped organizations like BNP Paribas, Citibank, Deutsche Bank, Motorola navigate the ever-evolving digital landscape and achieve their strategic goals.

Beyond his technical prowess, Chandan believes strongly in the importance of education and knowledge sharing. His dedication to technology and education has earned him recognition as a thought leader in the industry. He wants to travel the world and help professionals and businesses grow.

Expertise: Business Growth, Business Software, Digital Growth, Cybersecurity, Artificial Intelligence, IT Infrastructure
Education: MBA in International Business from Arcadia University