security - 如何防止我的 Prestashop 网站上的 Clickjacking 攻击?
问题描述
我添加了
<meta http-equiv="X-Frame-Options" content="deny">
在header.tpl文件中,但它不起作用并引发错误。
X-Frame-Options 只能通过与文档一起发送的 HTTP 标头来设置。里面可能没有设置。
我还添加了
Header always append X-Frame-Options SAMEORIGIN
.htaccess文件中的行。但这也行不通。
那么如何防止我的网站上的点击劫持?
解决方案
我建议您编辑 PrestaShop 根文件夹安装中的 .htaccess,并在“# ~~start~~ 不要删除...”标识的行之前添加以下块:
# Extra Security Headers
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' *.googleapis.com *.gstatic.com;"
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
</IfModule>
这将提供以下保护:点击劫持 - 内容嗅探 - XSS 攻击
推荐阅读
- excel - 使用 VBA 循环遍历子文件夹中的文件
- javascript - 如何制作一个像 UI 一样的表格来对其中的元素做出原生反应?
- javascript - 如何在课堂上进行全局解构?
- azure - 使用 Application Insights 监视 IIS 应用程序
- mongodb - 如何使用当前时间和文档中的另一个字段创建 mongodb 查询?
- java - 使用 eclipse 生成 .jar 文件后如何加载图像?
- sql-server - 从 SSMS 2008 迁移到 SSMS 2016 后,数据库服务器面临缓慢的问题
- html -
- 如何将导航栏中的最后一项设置在右侧
- kubernetes-ingress - 通过使用 Istio 端点身份验证,使用 Firebase 对 JWT 进行身份验证
- clips - CLIPS 无法识别 deftemplate 名称