何謂蓋台呢?
其實就是將網頁顯示在別人的網站,
至於Clickjacking,
其實就是惡意網站以雙層方式顯示,
上層為iframe為隱藏,
下層為欺騙使用者的顯示內容,
故意將上層的按鈕與下層的按鈕對齊,
使用者點擊其實是按到上層的隱藏按鈕
為了避免網站遭到惡意蓋台或者Clickjacking攻擊,
勢必要做一些防護措施,
而X-Frame-Options 就是其中的一種防治手段,
X-Frame-Options 限制了 iframe與物件的載入,
有三種設定
DENY
無論是誰都無法使用
SAMEORIGIN
只有同網域才能使用
ALLOW-FROM
只有指定網域才能使用
設定成功的話,
就能在瀏覽器主控台看到如下圖error訊息
各軟體語法不一樣,
底下就舉幾個常見的例子:
Apache :
Header always append X-Frame-Options SAMEORIGIN
Nginx :
add_header X-Frame-Options SAMEORIGIN;
.htaccess文件 :
Header set X-Frame-Options SAMEORIGIN
但並不是每個瀏覽器都支援ALLOW-FROM的,
比如Chrome就不支援,
就必須透過其他指令來阻擋iframe引用,
至於用什麼指令呢?
請待下回分解
沒有留言:
張貼留言