Привет, хакеры сегодня поговорим об уязвимости веб-сайтов Clickjacking
Чем опасен Clickjacking?
Из-за него можно брать содержимое сайта и вносить его в другие сайты. Это что-то типа подмены старницы вашего сайта и
с помощью СИ заставить бедалагу юзера Кликнуть по ссылке.
X-Frame-Options в заголовке HTTP-ответа может использоваться, указывая ,разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть 3 параметра:
SAMEORIGIN:этот параметр позволяет отображать страницу в frame в том же месте,что и сама реальная страница.
DENY:предотвратит отображение страницы в frame или iframe.
ALLOW-FROM URI:а этот параметр поможет отобразить страничку только по указанному источнику(url)
Как Clickjacking пофиксить на сервере Nginx:
Заходите в папку Nginx/conf
В nginx.conf в разделе сервера добавляете:
add_header X-Frame-Options "SAMEORIGIN"
Добавляя новый заголовочный файл X-Frame-Options. Для примера я добавил SAMEORIGIN.
Далее нужно перезапустить сервер
Как сделать это на сервере apahce:
Добавляете заголовочный файл в .htaccess:
Header always set X-Frame-Options SAMEORIGIN
И также перезапускаете сервер.
Я никого ни к чему не призываю, статья написана в ознакомительных целях!