使用X-FRAME-OPTIONS保护点击劫持攻击的F5 irule
使用F5 iRule进行安全防御点击劫持攻击的X-Frame-Options
有多种方式可以在您的Web应用程序中添加X-Frame-Options header。然而,通过F5负载均衡器实施可能是最简单的一种。
通过在网络边缘使用F5 iRule进行操作,您可以在不停机的情况下进行更改。
没错,您不需要重新启动任何服务,因此没有 downtime。
X-Frame-Options有三种设置:
- SAMEORIGIN:该配置将允许页面在与页面本身具有相同源的框架中显示。
- DENY:该设置将阻止页面在框架或iframe中显示。
- ALLOW-FROM uri:仅允许资源在指定的源上加载。
在F5 iRule中实施
- 创建包含以下内容的iRule
when HTTP_RESPONSE { HTTP::header insert "X-FRAME-OPTIONS" "SAMEORIGIN" }
- 将此iRule关联到相应的虚拟服务器
验证
使用浏览器内置的开发者工具检查响应头部,或使用 HTTP Header checker 工具在线进行验证。
您可以看到只需要三行代码就能完成工作!