Cấu hình X-Frame-Options phòng chống tấn công Clickjacking

Clickjacking

Tùy chọn X-Frame-Options để thông báo cho trình duyệt cho phép website của bạn có được nhúng vào bên trong các thẻ frame hoặc iframe hay không. Tính năng này có thể phòng chống các cuộc tấn công clickjacking vốn rất phổ biến hiện nay.

Chú ý: Bạn thiết lập theo cách này sẽ không có hiệu quả:

<meta http-equiv="X-Frame-Options" content="deny">

Phải thiết lập theo các cách dưới đây tùy vào dịch vụ máy chủ.

Configuring Apache

Để cấu hình Apache các bạn thêm đoạn code sau vào file config:

  1. 1. cho phép website được nhúng thẻ thẻ iframe hoặc frame
Header always append X-Frame-Options SAMEORIGIN

2. từ chối tất cả:

Header set X-Frame-Options DENY 

Config Nginx

add_header X-Frame-Options SAMEORIGIN;

IIS
thêm vào file web.config:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>
 

HPAProxy

rspadd X-Frame-Options:\ SAMEORIGIN
About Liêm Phan 163 Articles
Mình lập blog này với mục đích lưu lại + chia sẻ các các kiến thức mình đã biết hoặc đang tìm hiểu. Cơ bản giúp ích cho mình :) Nhưng hy vọng sẽ mang lại sự khởi đầu thuận lợi cho người mới bắt đầu!