使用X-FRAME-OPTIONS保护Nginx免受点击劫持

本文概述

在HTTP标头中添加X-Frame-Options以保护NGINX免受Clickjacking攻击

Clickjacking是一个众所周知的Web应用程序漏洞。

在我的上一篇文章中, 我谈到了如何保护Apache Web Server, IBM HTTP Server和.htaccess的安全, 并且其中一些人还询问了Nginx。

所以你去…

HTTP响应标头中的X-Frame-Options可用于指示是否应允许浏览器打开框架或iframe页面。

这样可以防止将网站内容嵌入其他网站。

你是否尝试过将Google.com嵌入框架中?你不能因为它受到保护而也可以对其进行保护。

X-Frame-Options有三种设置:

  1. SAMEORIGIN:此设置将允许页面以与页面本身相同的原点显示在框架中。
  2. 拒绝:此设置将阻止页面在框架或iframe中显示。
  3. ALLOW-FROM URI:此设置将仅在指定的原点上显示页面。

注意:你也可以尝试使用CSP框架祖先来控制嵌入的内容。

实现

  • 转到安装Nginx的位置, 然后转到conf文件夹
  • 修改前先备份
  • 在服务器部分下的nginx.conf中添加以下参数
add_header X-Frame-Options "SAMEORIGIN";
  • 重新启动Nginx Web服务器

验证

你可以在浏览器中使用Web开发人员工具来查看”响应”标题。它应该看起来像这样。

使用X-FRAME-OPTIONS保护Nginx免受点击劫持2

或者, 你也可以使用HTTP标头在线工具进行验证。

我希望这有帮助。有关安全性的更多信息, 请查看我的Nginx强化和安全性指南。

这只是网站的数百个安全修复程序之一。如果你正在寻找完整的安全解决方案, 则可以考虑使用基于云的安全提供程序, 例如SUCURI或Cloudflare。

微信公众号
手机浏览(小程序)
0
分享到:
没有账号? 忘记密码?