Implémenter X-FRAME-OPTIONS dans les en-têtes HTTP pour prévenir les attaques de Clickjacking
Le détournement de clic est une vulnérabilité bien connue des applications web.
Par exemple, elle a été utilisée pour attaquer X (anciennement connu sous le nom de Twitter).
Pour défendre votre serveur web Apache contre les attaques de Clickjacking, vous pouvez utiliser X-FRAME-OPTIONS pour éviter que votre site web ne soit piraté par le Clickjacking.
Les X-Frame-Options dans l’en-tête de réponse HTTP peuvent être utilisées pour indiquer si un navigateur doit être autorisé ou non à ouvrir une page dans un cadre ou une iframe.
Cela permet d’éviter que le contenu d’un site soit intégré dans d’autres sites.
Avez-vous déjà essayé d’intégrer Google.com à votre site web sous forme de cadre ? Vous ne pouvez pas car il est protégé et vous pouvez également le protéger.
Il existe trois paramètres pour X-Frame-Options :
- SAMEORIGIN: ce paramètre permet à une page d’être affichée dans un cadre sur la même origine que la page elle-même.
- DENY: Ce paramètre empêche l’affichage d’une page dans un cadre ou une iframe.
- ALLOW-FROM uri: Ce paramètre autorise l’affichage d’une page uniquement à l’origine spécifiée.
Note : – vous pouvez également utiliser l’en-tête Content Security Policy pour contrôler la manière dont vous souhaitez que le contenu de votre site soit intégré. Consultez cet article pour en savoir plus sur l’en-tête CSP.
Mise en œuvre dans Apache, IBM HTTP Server
- Connectez-vous au serveur Apache ou IHS
- Faites une sauvegarde d’un fichier de configuration
- Ajoutez la ligne suivante dans le fichier
httpd.conf
L'en-tête ajoute toujours X-Frame-Options SAMEORIGIN
- Redémarrez le serveur web concerné pour tester l’application
Mise en œuvre dans un hébergement Web partagé
Si votre site web est hébergé sur un hébergement mutualisé, vous n’aurez pas la permission de modifier httpd.conf.
Cependant, vous pouvez y parvenir en ajoutant la ligne suivante dans le fichier .htaccess.
Appendice d'en-tête X-FRAME-OPTIONS "SAMEORIGIN"
Le changement est répercuté immédiatement sans qu’il soit nécessaire de redémarrer le site.
Vérification
Vous pouvez utiliser n’importe quel outil de développement web pour visualiser les en-têtes de réponse. Vous pouvez également utiliser un outil en ligne – Header Checker – pour vérifier.
Comment cela s’est-il passé ?
Si vous gérez une entreprise en ligne, vous pouvez envisager d’utiliser le Cloud WAF pour bénéficier d’une protection et d’une surveillance de la sécurité tout-en-un.