Nginx - защита от Clickjacking через заголовок X-Frame-Options

Материал из Wiki - Iphoster - the best ever hosting and support. 2005 - 2024
Перейти к:навигация, поиск

Nginx - защита от Clickjacking через заголовок X-Frame-Options

X-Frame-Options в заголовке HTTP-ответа может использоваться для указания того, разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть три параметра:

SAMEORIGIN: этот параметр позволяет отображать страницу в кадре в том же месте, что и сама страница.
DENY: этот параметр предотвратит отображение страницы в фрейме или iframe.
ALLOW-FROM URI: этот параметр позволяет отображать страницу только по указанному источнику

Для nginx - добавляем в поле server {}:

add_header X-Frame-Options "SAMEORIGIN";

и перезагружаем nginx:

# systemctl restart nginx

Проверить заголовки можно через curl:

# curl -I  site.com

или же через любой сайт проверки заголовков.