X-Frame-Option Headeri ile clickjacking ataklara karşı koruma sağlanmaktadır.
Clickjacking, saldırganın kendi kontrolündeki sayfa içerisinde eklediği iframe ile hedef siteyi çağırır, görünürlüğünü düşürür, sayfayı ziyaret eden kullanıcıya başka bir işlem yaptığını düşündürerek butona tıklaması yada bağlantıya tıklaması sonucunda, hedef site üzerinde işlem yaptırabilir.
Server tarafında eklenecek olan X-Frame-Options header’ı ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verilebilir.
- X-Frame-Options: DENY olarak tanımlanırsa sayfamızın iframe içerisinde çağrılması engellenecektir.
- X-Frame-Options: SAMEORIGIN olarak tanımlanırsa aynı origine sahip sayfa tarafından çaprılmasına izin vermektedir.
- X-Frame-Options: ALLOW FROM www.onurbabur.com olarak tanımlanırsaise izin verilen sayfa tarafından, sayfamız iframe içerisinde çağrılabilir.
Nginx konfigurasyon dosyasında aşağıdaki şekilde satır eklemesi gerçekleştirilir.
nginx.conf
add_header X-Frame-Options "SAMEORIGIN";