如何在Apache、Nginx和WordPress中实现CSP frame-ancestors?

作者姚伟斌

通过实施CSP(内容安全策略)头部,保护您的网站免受点击劫持攻击

CSP是OWASP十大安全头部之一,通常被安全专家或工具推荐实施。有许多选项可用于构建策略,以强制执行您希望公开的Web资源的方式。

其中一个被称为frame-ancestors的指令在CSP版本2中引入,与frame-ancestors相比,该指令提供了更大的灵活性,能够以与X-Frame-Options相同的方式允许或禁止使用iframe、frame、object、embed和applet元素嵌入资源。

我认为当CSP与所有主要浏览器完全兼容时,X-Frame-Options将很快过时。截至目前,CSP frame-ancestors支持所有最新的浏览器版本,除了IE。

我不知道微软何时将在IE上提供支持。您可以随时在Can I Use site上检查浏览器的兼容性。

让我们看一下以下的实施步骤。

Apache HTTP

在Apache中注入任何头部都需要先决条件mod_headers。根据操作系统和版本的不同,但如果您使用的是Ubuntu和Apache 2.4,则可以使用a2enmod headers来启用它。

root@yaoweibin:/etc/apache2# a2enmod headers
Enabling module headers.
To activate the new configuration, you need to run:
  systemctl restart apache2
root@yaoweibin:/etc/apache2# systemctl restart apache2
root@yaoweibin:/etc/apache2#

注意:您可以在httpd.conf文件或您正在使用的任何有效配置文件中进行所有配置。

拒绝所有

与X-Frame-Options DENY类似。如果您不希望任何网站(包括自己)进行嵌入,则添加以下内容。

Header set Content-Security-Policy "frame-ancestors 'none';"

保存文件并重新启动Apache HTTP以生效。

我尝试嵌入网站,正如您所见,它被阻止了。

允许自己,但拒绝他人

与X-Frame-Options SAMEORIGIN类似,您可以添加以下内容。

Header set Content-Security-Policy "frame-ancestors 'self';"

允许自己和多个域名

X-Frame-Options没有选项允许多个域名。感谢CSP,您可以按如下方式执行。

Header set Content-Security-Policy "frame-ancestors 'self' 'yaoweibin.com' 'gf.dev' 'yaoweibin.dev';"

上述代码将允许从自己、yaoweibin.com、gf.dev和yaoweibin.dev嵌入内容。将这些域名更改为您自己的域名。

Nginx

与Apache HTTP部分中解释的概念和指令相同,只是添加头部的方式不同。在Nginx中,头部应添加在相应配置文件的server块下。

拒绝所有

add_header Content-Security-Policy "frame-ancestors 'none';";

拒绝所有,但不拒绝自己

add_header Content-Security-Policy "frame-ancestors 'self';";

允许多个域名

add_header Content-Security-Policy "frame-ancestors 'yoursite.com' 'example.com';";

上面的示例将允许在yoursite.com和example.come上嵌入内容。更改完成后,不要忘记重启Nginx服务器以测试策略。

WordPress

这取决于您如何托管WordPress。

如果您使用的是自托管的云端或VPS,那么您可能正在使用像Apache或Nginx这样的网络服务器。如果是这样的话,您可以按照上述提到的方法在网络服务器上实施,而不是在WordPress上实施。然而,如果您在shared hosting上或无法访问修改网络服务器,则可以利用插件。

要在WordPress中实施CSP,您可以使用Content Security Policy Pro plugin

验证

完成实施后,您可以使用浏览器内置的开发者工具或链接_6来进行验证。

结论

CSP是一种强大的措施,用于防止网络漏洞。我希望上述说明能指导您如何在Apache和Nginx中实施frame-ancestors。

姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章

如何删除 GitHub 存储库?

如何删除 GitHub 存储库?

作者姚伟斌

文件来存储相关的文档和资料。通过将它们组织在一起,你可以更快地找到所需的文件,提高工作效率。

在组织事物时,可以采用以下几个步骤:

1. 创建主文件夹:首先,创建一个主文件夹,用于存储项目的所有相关文件和文件夹。

2. 创建子文件夹:在主文件夹中创建子文件夹,根据不同的类别或主题来组织文件。例如,你可以创建一个名为”文档”的文件夹,用于存储所有的文档,再创建一个名为”图片”的文件夹,用于存储所有的图片。

3. 使用有意义的文件名:为每个文件和文件夹使用有意义的名称,以便更容易地识别和查找它们。例如,给文档文件命名为”项目计划”,给图片文件命名为”产品照片”等。

4. 使用文件夹结构:根据文件之间的关系,创建一个层次结构来组织文件和文件夹。例如,你可以在”文档”文件夹中创建一个名为”报告”的子文件夹,用于存储所有的报告文件。

5. 使用标签或标识符:对于特定类型的文件或文件夹,你可以使用标签或标识符来进一步标记和组织它们。例如,你可以为所有的重要文件添加一个”重要”标签,为所有的工作文档添加一个”工作”标签等。

通过采用以上方法,你可以轻松地组织和管理项目中的文件和文件夹,更高效地完成工作。