Implémentez X-FRAME-OPTIONS dans les en-têtes HTTP pour éviter les attaques de détournement de clic
Clickjacking est une vulnérabilité d'application Web bien connue.
Par exemple, il a été utilisé comme une attaque sur Twitter.
Pour défendre l'attaque Clickjacking sur votre serveur Web Apache, vous pouvez utiliser OPTIONS DE CADRE X pour éviter que votre site Web ne soit piraté par Clickjacking.
La solution Options X-Frame dans l'en-tête de réponse HTTP peut être utilisé pour indiquer si un navigateur doit être autorisé ou non à ouvrir une page dans un cadre ou une iframe.
Cela empêchera le contenu du site intégré dans d'autres sites.
Avez-vous tous essayé d'intégrer Google.com sur votre site Web en tant que cadre? Vous ne pouvez pas car il est protégé et vous pouvez le protéger aussi.
Il existe trois paramètres pour les options X-Frame:
- SAMEORIGINE: Ce paramètre permettra à une page d'être affichée dans un cadre sur la même origine que la page elle-même.
- NIER: Ce paramètre empêchera l'affichage d'une page dans un cadre ou une iframe.
- ALLOW-FROM uri: Ce paramètre permettra à une page d'être affichée uniquement sur l'origine spécifiée.
Remarque: - vous pouvez également utiliser l'en-tête de la politique de sécurité du contenu pour contrôler la manière dont vous souhaitez que le contenu de votre site soit intégré. Référer cet article pour l'en-tête CSP.
Implement in Apache, IBM HTTP Server
- Connectez-vous au serveur Apache ou IHS
- Effectuer une sauvegarde d'un fichier de configuration
- Ajouter la ligne suivante dans
httpd.conf
filet
Header always append X-Frame-Options SAMEORIGIN
- Redémarrez le serveur Web respectif pour tester l'application
Implement in Shared Web Hosting
Si votre site Web est hébergé sur un hébergement Web partagé, vous n'aurez pas la permission de modifier httpd.conf.
Cependant, vous pouvez y parvenir en ajoutant la ligne suivante dans le .htaccess fichier.
Header append X-FRAME-OPTIONS "SAMEORIGIN"
Le changement est immédiatement reflété sans redémarrage.
Verification
Vous pouvez utiliser n'importe quel outil de développement Web pour afficher les en-têtes de réponse. Vous pouvez également utiliser un outil en ligne - Vérificateur d'en-tête vérifier.
Comment c'était?
Si vous exploitez une entreprise en ligne, vous pouvez envisager d'utiliser WAF Cloud pour une protection et une surveillance de sécurité tout-en-un.