Stavo guardando una lezione di clickjacking e quando ho provato a creare un iframe per andare al sito web, ho notato che i siti web senza https sono vulnerabili al clickjacking. C'è un altro modo per fermare il clickjacking senza SSL o hai bisogno di usare qualcos'altro?
C'è un'intestazione HTTP anti-clickJacking che puoi aggiungere alle tue risposte.
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
Nega interromperà il caricamento del contenuto in un frame, iframe o oggetto, Same Origin consentirà il caricamento in pagine nello stesso dominio, 'Allow From' ti permette di specificare URI che potrebbero incorniciare il tuo contenuto.
Il browser implementa il supporto per questo, quindi c'è un affidamento sull'utente che utilizza un browser conforme all'intestazione, anche se i principali browser lo hanno supportato per un po '. Il supporto è disponibile per IE11, Edge14 e Chrome 49.
Devi configurare il tuo webserver per aggiungere questa intestazione HTTP alle risposte
Puoi anche usare antenati frame se stai usando una politica di sicurezza dei contenuti.
Un sito web impedisce il clickjacking impedendo che origini non fidate incorporino il sito in un frame.
Il modo stabilito e affidabile per raggiungere questo obiettivo è inviare un X-Frame-Options intestazione. Se non hai intenzione di avere la pagina incorporata in un frame di qualsiasi origine, puoi impostarla su DENY :
X-Frame-Options: DENY
Altre opzioni sono SAMEORIGIN per l'accesso dallo stesso dominio e ALLOW-FROM per specificare i permessi domini.
Il modo più moderno (ma non ampiamente supportato) per prevenire il clickjacking è l'invio di un'intestazione CSP con frame-ancestors direttiva. Impostarlo su none ha più o meno lo stesso effetto di X-Frame-Options: DENY :
Content-Security-Policy: frame-ancestors 'none';
Puoi trovare tutte le più comuni tecniche anti-clckjack in scheda trucchi per la difesa di Clickjacking .
di OWASP.Leggi altre domande sui tag websites penetration-test clickjacking