security - 如何防止我的 Prestashop 网站上的 Clickjacking 攻击？

问题描述

我添加了

<meta http-equiv="X-Frame-Options" content="deny">

在header.tpl文件中，但它不起作用并引发错误。

X-Frame-Options 只能通过与文档一起发送的 HTTP 标头来设置。里面可能没有设置。

我还添加了

Header always append X-Frame-Options SAMEORIGIN

.htaccess文件中的行。但这也行不通。

那么如何防止我的网站上的点击劫持？

供参考：点击劫持防御备忘单 | OWASP和X-Frame-Options - HTTP

标签： securityprestashop-1.6x-frame-optionsclickjackingclient-side-attacks

我建议您编辑 PrestaShop 根文件夹安装中的 .htaccess，并在“# ~~start~~ 不要删除...”标识的行之前添加以下块：

# Extra Security Headers
<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' *.googleapis.com *.gstatic.com;"
   Header set X-XSS-Protection "1; mode=block"
   Header always append X-Frame-Options SAMEORIGIN
   Header set X-Content-Type-Options nosniff
   Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
</IfModule>

这将提供以下保护：点击劫持 - 内容嗅探 - XSS 攻击

security - 如何防止我的 Prestashop 网站上的 Clickjacking 攻击？

问题描述

解决方案

推荐阅读