Il clickjacking, tradotto in italiano “rapimento del clic” è una tecnica informatica fraudolenta, rilevata per la prima volta nel settembre 2008 da Robert Hansen e Jeremiah Grossman, che prevede il reindirizzamento ad un altro oggetto cliccato, all’insaputa del navigatore (ad es. con un iframe).
Durante una normale navigazione web, l’utente clicca con il puntatore del mouse per esempio su di un oggetto link, o su elementi interni ad una mail ma in realtà il suo clic viene per l’appunto dirottato senza che l’utente lo sappia, su di un altro oggetto.
Sintassi:
Ci sono tre possibili direttive per X-Frame-Options:
X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/
Direttive:
Se si specifica DENY , non solo i tentativi di caricare la pagina in un frame falliscono quando caricati da altri siti, ma falliranno anche i tentativi quando viene richiamato dal sito stesso. D’altra parte, se si specifica SAMEORIGIN , è comunque possibile utilizzare la pagina in una cornice purché il sito che la include in una cornice sia uguale a quella che serve la pagina.
DENY = La pagina non può essere visualizzata in un frame, indipendentemente dal sito che sta tentando di farlo.
SAMEORIGIN = La pagina può essere visualizzata solo in una cornice sulla stessa origine della pagina stessa. Le specifiche lasciano ai fornitori di browser decidere se questa opzione si applica al livello superiore, al genitore o all’intera catena.
ALLOW-FROM uri = La pagina può essere visualizzata solo in una cornice sull’origine specificata.
Opzione 1: Attivazione in Plesk:
Selezionare nel dominio interessato la voce: Apache & nginx Settings
Standalone Apache:
Additional directives for HTTP : Header set X-Frame-Options DENY
Additional directives for HTTPS: Header set X-Frame-Options DENY
Standalone nginx:
Additional nginx directives : add_header X-Frame-Options DENY always;
Opzione 2: Attivazione in .htaccess
Aggiungeremo al nostro file .htaccess quanto segue:
<IfModule mod_headers.c> Header set X-Frame-Options DENY </IfModule>
