CSRF vulnerability – Clickjacking – Security Header: X-Frame-Options
Il Clickjacking è un azione fraudolenta che consente di redirigire il traffico dell’utente da altre parti a tua insaputa. Questa tecnica sfrutta generalmente Javascript e iframes.
Editare il file .htaccess all’interno della propria cartella principale del sito (/web) e inserire le seguenti righe:
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>
Opzioni disponibili per X-Frame-Options:
DENY – Impedisce di caricare pagine in frame o iframe qualunque sia la loro origine.
SAMEORIGIN – Impedisce il caricamento di frame diversi dal sito che origina la chiamata (il tuo sito)
ALLOW-FROM uri – Consente la visualizzazione di pagine definite con una origine definita nell’opzione uri.
La funzione è supportata da tutti i browser.
Per approfondimenti: On the X-Frame-Options Security Header