Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
Partager sur:

Sécurisez Apache contre le détournement de clic avec X-FRAME-OPTIONS

attaque de détournement de clic
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Implémentez X-FRAME-OPTIONS dans les en-têtes HTTP pour éviter les attaques de détournement de clic

Clickjacking est une vulnérabilité d'application Web bien connue.

Par exemple, il a été utilisé comme une attaque sur Twitter.

Pour défendre l'attaque Clickjacking sur votre serveur Web Apache, vous pouvez utiliser OPTIONS DE CADRE X pour éviter que votre site Web ne soit piraté par Clickjacking.

La solution Options X-Frame dans l'en-tête de réponse HTTP peut être utilisé pour indiquer si un navigateur doit être autorisé ou non à ouvrir une page dans un cadre ou une iframe.

Cela empêchera le contenu du site intégré dans d'autres sites.

Avez-vous tous essayé d'intégrer Google.com sur votre site Web en tant que cadre? Vous ne pouvez pas car il est protégé et vous pouvez le protéger aussi.

Il existe trois paramètres pour les options X-Frame:

  1. SAMEORIGINE: Ce paramètre permettra à une page d'être affichée dans un cadre sur la même origine que la page elle-même.
  2. NIER: Ce paramètre empêchera l'affichage d'une page dans un cadre ou une iframe.
  3. ALLOW-FROM uri: Ce paramètre permettra à une page d'être affichée uniquement sur l'origine spécifiée.

Remarque: - vous pouvez également utiliser l'en-tête de la politique de sécurité du contenu pour contrôler la manière dont vous souhaitez que le contenu de votre site soit intégré. Référer cet article pour l'en-tête CSP.

Implement in Apache, IBM HTTP Server

  • Connectez-vous au serveur Apache ou IHS
  • Effectuer une sauvegarde d'un fichier de configuration
  • Ajouter la ligne suivante dans httpd.conf filet
Header always append X-Frame-Options SAMEORIGIN
  • Redémarrez le serveur Web respectif pour tester l'application

Implement in Shared Web Hosting

Si votre site Web est hébergé sur un hébergement Web partagé, vous n'aurez pas la permission de modifier httpd.conf.

Cependant, vous pouvez y parvenir en ajoutant la ligne suivante dans le .htaccess fichier.

Header append X-FRAME-OPTIONS "SAMEORIGIN"

Le changement est immédiatement reflété sans redémarrage.

Verification

Vous pouvez utiliser n'importe quel outil de développement Web pour afficher les en-têtes de réponse. Vous pouvez également utiliser un outil en ligne - Vérificateur d'en-tête vérifier.

Comment c'était?

Si vous exploitez une entreprise en ligne, vous pouvez envisager d'utiliser WAF Cloud pour une protection et une surveillance de sécurité tout-en-un.

Merci à nos commanditaires
Plus de bonnes lectures sur Apache HTTP
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder