S觀察員 發表於 2023-4-12 18:20:01

何謂 X-Frame-Options

X-Frame-Options 是一個 HTTP 標頭,可以用來防止 Clickjacking 攻擊。Clickjacking 攻擊是一種攻擊方式,攻擊者會在網頁上放置一個透明的 iframe,然後將網頁的內容放在 iframe 中,讓使用者以為他們正在與原始網站互動,實際上卻是與攻擊者互動。X-Frame-Options 可以防止這種攻擊方式。以下是設定 X-Frame-Options 的方式:


[*]DENY:表示網頁無論如何都無法被嵌入到 frame 中,即使於相同網域內嵌入也不允許。
[*]SAMEORIGIN:唯有當符合同源政策下,才能被嵌入到 frame 中。
[*]ALLOW-FROM uri:唯有列表許可的 URI 才能嵌入到 frame 中。

如果您使用 Apache,請加入以下指令到網站組態設定檔:
Header always append X-Frame-Options SAMEORIGIN
如果您使用 Nginx,請加入以下指令到 http、server 或 location 組態設定檔:
add_header X-Frame-Options SAMEORIGIN;
如果您使用 IIS,請參考以下連結: https://developer.mozilla.org/zh ... ers/X-Frame-Options
檢查是否受到 Clickjacking 攻擊


可以透過以下方式檢查網站是否受到 Clickjacking 攻擊:

檢查網站的 HTTP 標頭,確認是否有 X-Frame-Options 標頭。如果有,則檢查其值是否為 DENY、SAMEORIGIN 或 ALLOW-FROM uri。
如果沒有,則可能需要進行額外的檢查。

使用瀏覽器的開發者工具,檢查網站的 HTML 代碼,確認是否有 iframe 元素。如果有,則檢查其屬性是否設置了 sandbox 屬性或 allow 屬性。

使用瀏覽器的開發者工具,檢查網站的 JavaScript 代碼,確認是否有防止 Clickjacking 的程式碼。


Clickjacking 攻擊的危害包括

點擊劫持攻擊者可以在不知情的情況下,讓使用者點擊到惡意網頁上的按鈕或連結,從而執行惡意操作。

點擊劫持攻擊者可以在不知情的情況下,讓使用者在不知情的情況下進行某些操作,例如分享資訊、發送電子郵件等。

點擊劫持攻擊者可以在不知情的情況下,讓使用者訪問惡意網站,從而導致電腦感染病毒或其他惡意軟件。

頁: [1]
檢視完整版本: 何謂 X-Frame-Options