來(lái)源 | www.fly63.com

背景

網(wǎng)絡(luò)安全是經(jīng)常被忽略的一個(gè)問(wèn)題，特別是對(duì)于小公司，由于用戶量不大，可能根本不會(huì)考慮這些問(wèn)題，但是如果能提前避免為什么不提前做防御呢？今天說(shuō)下如何避免自己的網(wǎng)站被他人釣魚。

html中提供了了iframe標(biāo)簽，可以用于展示第三方的網(wǎng)頁(yè)，對(duì)于別有用心的人就可以利用這點(diǎn)做一個(gè)鏡像網(wǎng)站。

<body>    <iframe src="https://www.webqdkf.com"></iframe></body>

通過(guò)css把iframe邊框設(shè)置成透明，再把布局改成和三方一樣的大小，整個(gè)頁(yè)面除了域名其他基本就一樣了，當(dāng)然域名也可以注冊(cè)一個(gè)比較相似的。

方案

http有一個(gè)X-Frame-Options選項(xiàng)，可以設(shè)置不允許其他網(wǎng)站使用iframe鏈接，比如百度設(shè)置了只允許同源網(wǎng)站嵌套，除了設(shè)置成SAMEORIGIN，也可以設(shè)置成DENY，拒絕所有的網(wǎng)站嵌套。

配置方法

Apache

要將 Apache 配置為發(fā)送X-Frame-Options所有頁(yè)面的標(biāo)頭，請(qǐng)將其添加到站點(diǎn)的配置中：

Header always set X-Frame-Options "SAMEORIGIN"

要配置 Apache 以設(shè)置X-Frame-OptionsDENY，請(qǐng)將其添加到您站點(diǎn)的配置中：

Header set X-Frame-Options "DENY"

Nginx

要配置 Nginx 以發(fā)送X-Frame-Options標(biāo)頭，請(qǐng)將其添加到您的 http、服務(wù)器或位置配置中：

add_header X-Frame-Options SAMEORIGIN always;

IIS

要配置 IIS 以發(fā)送X-Frame-Options標(biāo)頭，請(qǐng)將其添加到您站點(diǎn)的Web.config文件中：

<system.webServer>  ...  <httpProtocol>    <customHeaders>      <add name="X-Frame-Options" value="SAMEORIGIN" />    </customHeaders>  </httpProtocol>  ...</system.webServer>

HAProxy

要配置 HAProxy 以發(fā)送X-Frame-Options標(biāo)頭，請(qǐng)將其添加到您的前端、偵聽或后端配置中：

rspadd X-Frame-Options:\ SAMEORIGIN

或者，在較新的版本中：

http-response set-header X-Frame-Options SAMEORIGIN

Express

要配置 Express 發(fā)送X-Frame-Options標(biāo)頭，您可以使用使用frameguard設(shè)置標(biāo)頭的頭盔。將此添加到您的服務(wù)器配置中：

const helmet = require('helmet');const app = express();app.use(helmet.frameguard({ action: 'SAMEORIGIN' }));

或者，我們可以直接使用 frameguard：

const frameguard = require('frameguard')app.use(frameguard({ action: 'SAMEORIGIN' }))

本文完~

學(xué)習(xí)更多技能

請(qǐng)點(diǎn)擊下方公眾號(hào)