目前,我正在评估其中一个网站的漏洞,我正在考虑的要点之一是如何防止我的网站遭受潜在的点击劫持攻击?
我不是这个领域的专家,但到目前为止我有一些观察,
正如我所说,我不是该领域的专家,因此期待听到一些关于如何使用 X-Frame-Options 标头来防止点击劫持攻击的想法?
您可以依靠安全标头
X-Frame-Options
来指示浏览器不要渲染任何 iframe。
这可以通过发送响应标头来使用
X-Frame-Options: DENY
或
X-Frame-Options: SAMEORIGIN
如果您想使用 iframe,但仅限于与您的页面同源的页面。
<IfModule mod_rewrite.c>
Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>
您可以在下面获得 X-Frame-Options 的更多详细信息 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
您可以在服务器 .htaccess 文件的最后添加以下代码片段,并在 https://clickjacker.io/test 上测试该网站。