up
down
Close
架站盒子
Web Development Box
 

防止 iframe 內嵌點擊脅持攻擊方法

│ 913 Views │ XAMPP

語法

# 請將以下這行新增至 apache 設定中,如:httpd.conf,並記得重啟
Header always append X-Frame-Options SAMEORIGIN

說明

透過 X-Frame-Options 指令可以限制頁面嵌入 iframe 防止點擊劫持攻擊,例如攻擊者可以誘使訪問者在頁面上進行操作以竊取數據,包含點擊廣告或竊取密碼等,透過 X-Frame-Options 響應標頭可以限制或指定特定主機嵌入網頁。可使用的選項有兩種,如下:

  1. DENY:限制所有網域,包含自家網站
  2. SAMEORIGIN:僅允許在相同網域中被嵌入

一般建議使用 SAMEORIGIN,如果使用 DENY ,那麼雖然不會被其他網站加載 iframe,但自己家也會無法使用,因此如果自己的網站有用到 iframe,則需改用 SAMEORIGIN。

如何檢查

打開瀏覽器按 F12 > Network(網路),點選該網頁檔案找到 X-Frame-Options 這行即代表已成功啟用。

延伸閱讀

本文是否對您有幫助?