Caricare Frames Header: X-Frame-Options

CSRF vulnerability – Clickjacking – Security Header: X-Frame-Options

Il Clickjacking è un azione fraudolenta che consente di redirigire il traffico dell’utente da altre parti a tua insaputa. Questa tecnica sfrutta generalmente Javascript e iframes.
Editare il file .htaccess all’interno della propria cartella principale del sito (/web) e inserire  le seguenti righe:

<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>

Opzioni disponibili per X-Frame-Options:
DENY – Impedisce di caricare pagine in frame o iframe qualunque sia la loro origine.
SAMEORIGIN – Impedisce il caricamento di frame diversi dal sito che origina la chiamata (il tuo sito)
ALLOW-FROM uri – Consente la visualizzazione di pagine definite con una origine definita nell’opzione uri.

La funzione è supportata da tutti i browser.
Per approfondimenti: On the X-Frame-Options Security Header

Was this article helpful?

Related Articles