Sécurisez Apache contre le détournement de clic avec X-FRAME-OPTIONS
Implémentez X-FRAME-OPTIONS dans les en-têtes HTTP pour prevent Attaques de détournement de clic
Clickjacking est une vulnérabilité d'application Web bien connue.
Par exemple, il a été utilisé comme une attaque sur Twitter.
Pour défendre l'attaque Clickjacking sur votre serveur Web Apache, vous pouvez utiliser OPTIONS DE CADRE X pour éviter que votre site Web ne soit piraté par Clickjacking.
L’ENTREPRISE Options X-Frame dans l'en-tête de réponse HTTP peut être utilisé pour indiquerate si un navigateur doit être autorisé ou non à ouvrir une page dans un cadre ou une iframe.
Cela va prevcontenu du site intégré dans d'autres sites.
Avez-vous tous essayé d'intégrer Google.com sur votre site Web en tant que cadre? Vous ne pouvez pas car il est protégé et vous pouvez le protéger aussi.
Il existe trois paramètres pour les options X-Frame:
- SAMEORIGINE: Ce paramètre permettra à une page d'être affichée dans un cadre sur la même origine que la page elle-même.
- NIER: Ce paramètre prevent une page affichée dans un cadre ou une iframe.
- AUTORISER-DE uri: Ce paramètre permettra à une page d'être affichée uniquement sur l'origine spécifiée.
Remarque: - vous pouvez également utiliser l'en-tête de la politique de sécurité du contenu pour contrôler la manière dont vous souhaitez que le contenu de votre site soit intégré. Référer cet article pour l'en-tête CSP.
Implémenter dans Apache, IBM HTTP Server
- Connectez-vous au serveur Apache ou IHS
- Effectuer une sauvegarde d'un fichier de configuration
- Ajouter la ligne suivante dans
httpd.conf
filet
Header always append X-Frame-Options SAMEORIGIN
- Redémarrez le serveur Web respectif pour tester l'application
Implémenter dans l'hébergement Web mutualisé
Si votre site Web est hébergé sur un hébergement Web partagé, vous n'aurez pas la permission de modifier httpd.conf.
Cependant, vous pouvez y parvenir en ajoutant la ligne suivante dans le .htaccess fichier.
Header append X-FRAME-OPTIONS "SAMEORIGIN"
Le changement se reflète immédiatementately sans faire de redémarrage.
Vérification
Vous pouvez utiliser n'importe quel outil de développement Web pour afficher les en-têtes de réponse. Vous pouvez également utiliser un outil en ligne - Vérificateur d'en-tête vérifier.
Comment c'était?
Si vous exploitez une entreprise en ligne, vous pouvez envisager d'utiliser WAF Cloud pour une protection et une surveillance de sécurité tout-en-un.