本文概述
在HTTP标头中添加X-Frame-Options以保护NGINX免受Clickjacking攻击
Clickjacking是一个众所周知的Web应用程序漏洞。
在我的上一篇文章中, 我谈到了如何保护Apache Web Server, IBM HTTP Server和.htaccess的安全, 并且其中一些人还询问了Nginx。
所以你去…
HTTP响应标头中的X-Frame-Options可用于指示是否应允许浏览器打开框架或iframe页面。
这样可以防止将网站内容嵌入其他网站。
你是否尝试过将Google.com嵌入框架中?你不能因为它受到保护而也可以对其进行保护。
X-Frame-Options有三种设置:
- SAMEORIGIN:此设置将允许页面以与页面本身相同的原点显示在框架中。
- 拒绝:此设置将阻止页面在框架或iframe中显示。
- ALLOW-FROM URI:此设置将仅在指定的原点上显示页面。
注意:你也可以尝试使用CSP框架祖先来控制嵌入的内容。
实现
- 转到安装Nginx的位置, 然后转到conf文件夹
- 修改前先备份
- 在服务器部分下的nginx.conf中添加以下参数
add_header X-Frame-Options "SAMEORIGIN";
- 重新启动Nginx Web服务器
验证
你可以在浏览器中使用Web开发人员工具来查看”响应”标题。它应该看起来像这样。
或者, 你也可以使用HTTP标头在线工具进行验证。
我希望这有帮助。有关安全性的更多信息, 请查看我的Nginx强化和安全性指南。
这只是网站的数百个安全修复程序之一。如果你正在寻找完整的安全解决方案, 则可以考虑使用基于云的安全提供程序, 例如SUCURI或Cloudflare。