Now Reading
Come impedire a un sito web il clickjacking ?
0

Come impedire a un sito web il clickjacking ?

Il clickjacking, tradotto in italiano “rapimento del clic” è una tecnica informatica fraudolenta, rilevata per la prima volta nel settembre 2008 da Robert Hansen e Jeremiah Grossman, che prevede il reindirizzamento ad un altro oggetto cliccato, all’insaputa del navigatore (ad es. con un iframe).
Durante una normale navigazione web, l’utente clicca con il puntatore del mouse per esempio su di un oggetto link, o su elementi interni ad una mail ma in realtà il suo clic viene per l’appunto dirottato senza che l’utente lo sappia, su di un altro oggetto.


Sintassi:

Ci sono tre possibili direttive per X-Frame-Options:

Direttive:

Se si specifica DENY , non solo i tentativi di caricare la pagina in un frame falliscono quando caricati da altri siti, ma falliranno anche i tentativi  quando viene richiamato dal sito stesso. D’altra parte, se si specifica SAMEORIGIN , è comunque possibile utilizzare la pagina in una cornice purché il sito che la include in una cornice sia uguale a quella che serve la pagina.

DENY  = La pagina non può essere visualizzata in un frame, indipendentemente dal sito che sta tentando di farlo.

SAMEORIGIN  = La pagina può essere visualizzata solo in una cornice sulla stessa origine della pagina stessa. Le specifiche lasciano ai fornitori di browser decidere se questa opzione si applica al livello superiore, al genitore o all’intera catena.

ALLOW-FROM uri = La pagina può essere visualizzata solo in una cornice sull’origine specificata.


Opzione 1: Attivazione in Plesk:

Selezionare nel dominio interessato la voce: Apache & nginx Settings

Standalone Apache:

Additional directives for HTTP : Header set X-Frame-Options DENY

Additional directives for HTTPS: Header set X-Frame-Options DENY 

 

Standalone nginx:

Additional nginx directives : add_header X-Frame-Options DENY always;

 


Opzione 2: Attivazione in .htaccess

Aggiungeremo al nostro file .htaccess quanto segue:

 

What's your reaction?
Interesting
0%
Cool
0%
I make it
0%
Like
Dislike
0%
Useless
0%
Shock
0%
About The Author
Davide Righini
Davide Righini
Appassionato di tecnologia e informatica da sempre, ho deciso di aprire questo blog per archiviare e condividere le mie esperienze con chi, come mè, condivide queste passioni.