本文概述
- 实现
- 验证
Clickjacking是一个众所周知的Web应用程序漏洞。
在我的上一篇文章中, 我谈到了如何保护Apache Web Server, IBM HTTP Server和.htaccess的安全, 并且其中一些人还询问了Nginx。
所以你去…
HTTP响应标头中的X-Frame-Options可用于指示是否应允许浏览器打开框架或iframe页面。
这样可以防止将网站内容嵌入其他网站。
你是否尝试过将Google.com嵌入框架中?你不能因为它受到保护而也可以对其进行保护。
【使用X-FRAME-OPTIONS保护Nginx免受点击劫持】X-Frame-Options有三种设置:
- SAMEORIGIN:此设置将允许页面以与页面本身相同的原点显示在框架中。
- 拒绝:此设置将阻止页面在框架或iframe中显示。
- ALLOW-FROM URI:此设置将仅在指定的原点上显示页面。
注意:你也可以尝试使用CSP框架祖先来控制嵌入的内容。实现
- 转到安装Nginx的位置, 然后转到conf文件夹
- 修改前先备份
- 在服务器部分下的nginx.conf中添加以下参数
add_header X-Frame-Options "SAMEORIGIN";
- 重新启动Nginx Web服务器
文章图片
或者, 你也可以使用HTTP标头在线工具进行验证。
我希望这有帮助。有关安全性的更多信息, 请查看我的Nginx强化和安全性指南。
这只是网站的数百个安全修复程序之一。如果你正在寻找完整的安全解决方案, 则可以考虑使用基于云的安全提供程序, 例如SUCURI或Cloudflare。
推荐阅读
- Zeppelin勒索软件指南
- 保护和强化Apache Web服务器的10种最佳实践
- 如何(为什么)为WordPress创建暂临时站点()
- 9个很棒的服务可以启用来自WordPress的推送通知
- 如何将Yoast Sitemap的频率更改为”每日”()
- 使用PHP-FPM 7的WordPress与5相比有多快()
- 如何将WordPress从DigitalOcean转移到Linode()
- WordPress – PHP致命错误(找不到类” Memcached”)
- 8个WordPress网站的智能菜单插件