使用X-FRAME-OPTIONS保护Apache免受点击劫持的攻击
在HTTP头中实现X-FRAME-OPTIONS以防止点击劫持攻击
Clickjacking是一个众所周知的网络应用程序漏洞。
例如,它曾经被用于对Twitter进行攻击。
为了防御Apache Web服务器上的点击劫持攻击,您可以使用X-FRAME-OPTIONS来避免您的网站受到点击劫持的攻击。
HTTP响应头中的X-Frame-Options可以用来指示浏览器是否允许在框架或iframe中打开页面。
这将防止将站点内容嵌入到其他站点中。
您是否曾经尝试将Google.com作为一个框架嵌入到您的网站中?您不能这样做,因为它受到了保护,您也可以保护它。
X-Frame-Options有三种设置:
- SAMEORIGIN:这个设置将允许页面在与页面本身相同的来源上显示在一个框架中。
- DENY:这个设置将阻止页面在框架或iframe中显示。
- ALLOW-FROM uri:这个设置将只允许在指定的来源上显示页面。
注意:您还可以使用内容安全策略头来控制您希望网站内容如何嵌入。请参考this article for CSP header。
在Apache和IBM HTTP Server中实现
- 登录到Apache或IHS服务器
- 备份配置文件
- 在
httpd.conf文件中添加以下行
Header always append X-Frame-Options SAMEORIGIN- 重新启动相应的Web服务器以测试应用程序
在共享Web托管中实现
如果您的网站托管在共享Web托管上,则您无权修改httpd.conf。
但是,您可以通过在.htaccess文件中添加以下行来实现。
Header append X-FRAME-OPTIONS "SAMEORIGIN"更改会立即生效,无需重新启动。
验证
您可以使用任何Web开发工具来查看响应头。您还可以使用在线工具-Header Checker来进行验证。
进行得如何?
如果您经营在线业务,那么您可以考虑使用Cloud WAF进行全方位的安全保护和监控。
