Nginx - защита от Clickjacking через заголовок X-Frame-Options

Материал из Wiki - Iphoster - the best ever hosting and support. 2005 - 2024
Перейти к:навигация, поиск

Nginx - защита от Clickjacking через заголовок X-Frame-Options

X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть три параметра: 

SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница.
DENY: этот параметр предотвратит отображение страницы в фрейме или iframe.
ALLOW-FROM URI: этот параметр позволяет отображать страницу только по указанному источнику

Для nginx - добавляем в поле server {}: 

add_header X-Frame-Options "SAMEORIGIN";

и перезагружаем nginx: 

# systemctl restart nginx

Проверить заголовки можно через curl: 

# curl -I  site.com

или же через любой сайт проверки заголовков.

Источник — https://iphwiki.net/index.php?title=Nginx_-_защита_от_Clickjacking_через_заголовок_X-Frame-Options&oldid=7704
Powered by MediaWiki