如何使用X帧选项标头防止ClickJacking攻击？

Question

目前，我正在评估其中一个网站的脆弱性，我所关注的问题之一是如何防止我的网站受到潜在的点击攻击？

我不是这个领域的专家，但到目前为止我有一些观察，

缺少X帧选项头的

1. 意味着该网站可能面临点击劫持攻击的风险。
2. (X帧选项HTTP报头字段)指示一个策略，指定浏览器是否应该在帧内呈现传输的资源，或者可以在其HTTP响应的标题中声明此策略，以防止点击攻击。

正如我说的，我不是这个领域的专家，所以期待听到一些关于我如何使用X帧选项头来防止点击攻击的想法？

Answer 1

您可以依赖安全头X-Frame-Options向浏览器指示不呈现任何iframe。

这可以通过发送响应头X-Frame-Options: DENY或X-Frame-Options: SAMEORIGIN来使用，如果您想使用iframes，但只用于与页面原点相同的页面。

Answer 2

​

<IfModule mod_rewrite.c>
    Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>

​

您可以在https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options下面获得X帧选项的更多详细信息。

您可以在服务器.htaccess文件的最后一个添加下面的代码片段，并在https://clickjacker.io/test上测试站点。