"Enter"a basıp içeriğe geçin

Apache Üzerinde X-Frame-Options Header Eklenmesi

X-Frame-Option Headeri ile clickjacking ataklara karşı koruma sağlanmaktadır.

Clickjacking, saldırganın kendi kontrolündeki sayfa içerisinde eklediği iframe ile hedef siteyi çağırır, görünürlüğünü düşürür, sayfayı ziyaret eden kullanıcıya başka bir işlem yaptığını düşündürerek butona tıklaması yada bağlantıya tıklaması sonucunda, hedef site üzerinde işlem yaptırabilir.

Server tarafında eklenecek olan X-Frame-Options header’ı ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verilebilir.

  1. X-Frame-Options: DENY olarak tanımlanırsa sayfamızın iframe içerisinde çağrılması engellenecektir.
  2. X-Frame-Options: SAMEORIGIN olarak tanımlanırsa aynı origine sahip sayfa tarafından çaprılmasına izin vermektedir.
  3. X-Frame-Options: ALLOW FROM www.onurbabur.com olarak tanımlanırsaise izin verilen sayfa tarafından, sayfamız iframe içerisinde çağrılabilir.

Apache üzerinde X-Frame-Options ekleme işlemi Debian tabanlı sistemlerde,

 /etc/apache2/conf-enabled/security.conf

Redhat tabanlı sistemlerde,

/etc/httpd/conf/httpd.conf

İlgili config içerisine satır olarak girilir.

Varsayılan olarak Same Origin ayarı bu şekilde girilmelidir.

Header set X-Frame-Options: "SAMEORIGIN"

Spesifik tanımlamalar,

Header set X-Frame-Options: "ALLOW-FROM http://example.com/" 
Header set X-Frame-Options: "ALLOW-FROM http://www.example.com/" 
Header set X-Frame-Options: "ALLOW-FROM https://example.com/" 
Header set X-Frame-Options: "ALLOW-FROM https://www.example.com/" 

Herkese kapatma işlemi ise aşağıdaki şekilde tanımlanır.

Header set X-Frame-Options: "DENY"

İşlemler tamamlandıktan sonra konfig dosyası kaydedilir ve servis restart edilir,

Paylaşımlı barındırma ortamında çalışan web siteleri, Apache yapılandırmasını değiştirme ayrıcalıklarına sahip olmayabilirsiniz. Bu durumda, belge kökünde .htaccess dosyası oluşturabilir ve yukarıdakiyle aynı ayarları ekleyebilirsiniz:

Header append X-Frame-Options: "SAMEORIGIN"

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.