Adicionar X-Frame-Options no cabeçalho HTTP para proteger o NGINX contra ataques de Clickjacking
roubo de cliques é uma vulnerabilidade de aplicativo da web bem conhecida.
No meu último post, falei sobre como proteger Apache Web Servidor, IBM HTTP Server e .htaccess e alguns de vocês perguntaram sobre o Nginx.
Então aqui vai…
O X-Frame-Options no cabeçalho de resposta HTTP pode ser usado para indicar se um navegador deve ou não ter permissão para abrir uma página em um quadro ou iframe.
Isso impedirá que o conteúdo do site seja incorporado a outros sites.
Você já tentou incorporar o Google.com em seu site como um quadro? Você não pode porque está protegido e você também pode protegê-lo.
Existem três configurações para X-Frame-Options:
- MESMA ORIGEM : esta configuração permitirá que a página seja exibida em um quadro na mesma origem da própria página.
- NEGAR : esta configuração impedirá que uma página seja exibida em um quadro ou iframe.
- URI DE PERMISSÃO : esta configuração permitirá que uma página seja exibida apenas na origem especificada.
Nota: você também pode tentar Ancestrais de quadro CSP para controlar a incorporação de conteúdo.
Implementação
- Vá para onde o Nginx está instalado e, em seguida, uma pasta conf
- Faça um backup antes de modificar
- Adicione o seguinte parâmetro em
nginx.confna seção do servidor
add_header X-Frame-Options "SAMEORIGIN";- Reinicie o servidor web Nginx
Verificação
Você pode usar uma ferramenta de desenvolvedor da Web no navegador para visualizar os cabeçalhos de resposta. Deve ficar assim.
Alternativamente, você também pode usar Ferramenta on-line de cabeçalho HTTP para verificar isso.
Eu espero que isso ajude. Para saber mais sobre segurança, confira meu Guia de proteção e segurança do Nginx .
Isso é apenas uma das centenas de correções de segurança para um site. Se você estiver procurando por uma solução de segurança completa, considere provedores de segurança baseados em nuvem como SUCURI ou Cloudflare.
