原标题:PHP安全:防止点击劫持
有这样一种情况,攻击者伪造一个钓鱼站点,将Web嵌套到钓鱼站点的Frame中,通过误导用户完成恶意攻击者构造的操作,劫持用户的输入和操作。
可以通过配置浏览器X-Frame-Options选项来防止点击劫持(Clickjacking)。X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在、或者中展现的标记,网站可以使用此功能来确保自己网站的内容没有被嵌到别人的网站中,也从而避免被点击劫持的攻击。
在PHP配置中添加X-Frame-Options如下。
session_start;
session_regenerate_id;
header("X-Frame-Options: DENY");
配置Apache在所有页面上发送X-Frame-Options响应头,需要把下面的代码添加到'site'的配置中。
Header always append X-Frame-Options SAMEORIGIN
配置Nginx发送X-Frame-Options响应头,把下面的代码添加到'http'、'server'或者'location'的配置中。
add_header X-Frame-Options SAMEORIGIN;
配置IIS发送X-Frame-Options响应头,添加下面的代码到Web.config文件中。
…
…
在配置的时候要合理使用X-Frame-Options的三个值如表1所列。
表1 X-Frame-Options的参数返回搜狐,查看更多
责任编辑: