如何使用 X-Frame-Options 标头防止点击劫持攻击

问题描述 投票:0回答:2

目前,我正在评估其中一个网站的漏洞,我正在考虑的要点之一是如何防止我的网站遭受潜在的点击劫持攻击?

我不是这个领域的专家,但到目前为止我有一些观察,

  1. 缺少 X-Frame-Options 标头意味着该网站可能位于 点击劫持攻击的风险。
  2. X-Frame-Options HTTP 标头字段 表示指定浏览器是否应该渲染的策略 帧或 iframe 内传输的资源。
  3. 服务器可以在其 HTTP 响应的标头中声明此策略,以防止 点击劫持攻击。

正如我所说,我不是该领域的专家,因此期待听到一些关于如何使用 X-Frame-Options 标头来防止点击劫持攻击的想法?

asp.net security iframe x-frame-options clickjacking
2个回答
0
投票

您可以依靠安全标头 

X-Frame-Options
来指示浏览器不要渲染任何 iframe。

这可以通过发送响应标头来使用 

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
如果您想使用 iframe,但仅限于与您的页面同源的页面。

0
投票

<IfModule mod_rewrite.c>
    Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>

您可以在下面获得 X-Frame-Options 的更多详细信息 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

您可以在服务器 .htaccess 文件的最后添加以下代码片段,并在 https://clickjacker.io/test 上测试该网站。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.