如何防止我的 Prestashop 网站上的 Clickjacking 攻击?

【问题标题】:How can I prevent Clickjacking attack on my Prestashop website?如何防止我的 Prestashop 网站上的 Clickjacking 攻击?
【发布时间】:2020-02-12 10:36:03
【问题描述】:

我添加了

<meta http-equiv="X-Frame-Options" content="deny">

header.tpl 文件中,但它不起作用并引发错误。

X-Frame-Options 只能通过与文档一起发送的 HTTP 标头来设置。里面可能没有设置。

我还添加了

Header always append X-Frame-Options SAMEORIGIN

.htaccess 文件中的行。但这也行不通。

那么如何防止我的网站上的点击劫持?

供参考:Clickjacking Defense Cheat Sheet | OWASP X-Frame-Options - HTTP

【问题讨论】:

  • 为什么您认为响应标头不起作用?服务器会发送吗?这是正确的解决方案。
  • 好的。但是在 cPanel 中,如何在 httpd.conf 中添加标头?

标签: security prestashop-1.6 x-frame-options clickjacking client-side-attacks


【解决方案1】:

我建议您编辑 PrestaShop 根文件夹安装中的 .htaccess,并在“# ~~start~~ 不要删除...”标识的行之前添加以下块:

# Extra Security Headers
<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' *.googleapis.com *.gstatic.com;"
   Header set X-XSS-Protection "1; mode=block"
   Header always append X-Frame-Options SAMEORIGIN
   Header set X-Content-Type-Options nosniff
   Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
</IfModule>

这将提供以下保护: 点击劫持 - 内容嗅探 - XSS 攻击

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2021-01-02
    • 2017-07-11
    • 2020-08-07
    • 1970-01-01
    • 1970-01-01
    • 2017-01-09
    • 2017-03-31
    • 2015-04-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode