Nginx - защита от Clickjacking через заголовок X-Frame-Options: различия между версиями
Материал из Wiki - Iphoster - the best ever hosting and support. 2005 - 2023
Admin iph (обсуждение | вклад) (Новая страница: «=== Nginx - защита от Clickjacking через заголовок X-Frame-Options === X-Frame-Options в заголовке HTTP-ответа может …») |
Admin iph (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
=== Nginx - защита от Clickjacking через заголовок X-Frame-Options === | === Nginx - защита от Clickjacking через заголовок X-Frame-Options === | ||
− | X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe. <br /> | + | '''X-Frame-Options''' в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe. <br /> |
− | Для X-Frame-Options есть три параметра: | + | '''Для X-Frame-Options есть три параметра:''' |
SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница. | SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница. | ||
DENY: этот параметр предотвратит отображение страницы в фрейме или iframe. | DENY: этот параметр предотвратит отображение страницы в фрейме или iframe. |
Текущая версия на 08:19, 19 февраля 2020
Nginx - защита от Clickjacking через заголовок X-Frame-Options
X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть три параметра:
SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница. DENY: этот параметр предотвратит отображение страницы в фрейме или iframe. ALLOW-FROM URI: этот параметр позволяет отображать страницу только по указанному источнику
Для nginx - добавляем в поле server {}:
add_header X-Frame-Options "SAMEORIGIN";
и перезагружаем nginx:
# systemctl restart nginx
Проверить заголовки можно через curl:
# curl -I site.com
или же через любой сайт проверки заголовков.