使用X-Frame-Options避免蓋台與Clickjacking攻擊

首頁 >> 結帳英文 >> 使用X-Frame-Options避免蓋台與Clickjacking攻擊

何謂蓋台呢?

其實就是將網頁顯示在別人的網站,


至於Clickjacking,

其實就是惡意網站以雙層方式顯示,

上層為iframe為隱藏,

下層為欺騙使用者的顯示內容,

故意將上層的按鈕與下層的按鈕對齊,

使用者點擊其實是按到上層的隱藏按鈕


為了避免網站遭到惡意蓋台或者Clickjacking攻擊,

勢必要做一些防護措施,

而X-Frame-Options 就是其中的一種防治手段,

X-Frame-Options 限制了 iframe與物件的載入,

有三種設定



DENY

無論是誰都無法使用

SAMEORIGIN

只有同網域才能使用

ALLOW-FROM

只有指定網域才能使用



設定成功的話,

就能在瀏覽器主控台看到如下圖error訊息

各軟體語法不一樣,

底下就舉幾個常見的例子:


Apache :

Header always append X-Frame-Options SAMEORIGIN

Nginx :

add_header X-Frame-Options SAMEORIGIN;

.htaccess文件 :

Header set X-Frame-Options SAMEORIGIN


但並不是每個瀏覽器都支援ALLOW-FROM的,

比如Chrome就不支援,

就必須透過其他指令來阻擋iframe引用,

至於用什麼指令呢?

請待下回分解



================================
分享與讚美,是我們繼續打拼的原動力.
若文章對您有幫助,望請不吝按讚或分享.
或者對影片有興趣可以訂閱頻道接收通知
================================
YouTube 頻道
FB 粉絲專頁
================================

guangyaw

重點主題: 程式設計: Python , Django,Android 工具與軟體: Open edX,Linux工具,Blender教學 分享各地美景與產品使用心得,遊戲實況,甚至影視戲劇等, 您的訂閱就是頻道成長的原動力。 YouTube 頻道: https://youtube.com/xyawli

You may also like...

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *