Nginx - защита от Clickjacking через заголовок X-Frame-Options: различия между версиями

Текущая версия на 08:19, 19 февраля 2020

Nginx - защита от Clickjacking через заголовок X-Frame-Options

X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть три параметра:

SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница.
DENY: этот параметр предотвратит отображение страницы в фрейме или iframe.
ALLOW-FROM URI: этот параметр позволяет отображать страницу только по указанному источнику

Для nginx - добавляем в поле server {}:

add_header X-Frame-Options "SAMEORIGIN";

и перезагружаем nginx:

# systemctl restart nginx

Проверить заголовки можно через curl:

# curl -I  site.com

или же через любой сайт проверки заголовков.

@@ Строка 1: / Строка 1: @@
 === Nginx - защита от Clickjacking через заголовок X-Frame-Options ===
-X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe. <br />
+'''X-Frame-Options''' в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe. <br />
-Для X-Frame-Options есть три параметра:
+'''Для X-Frame-Options есть три параметра:'''
   SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница.
   DENY: этот параметр предотвратит отображение страницы в фрейме или iframe.