X-Frame-Options Header’ı Eklenmesi

X-Frame-Options Header’ı ile clickjacking ataklara karşı koruma sağlayabiliriz. Ekleyeceğimiz X-Frame-Options başlık bilgisi ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verebiliriz.

Öncelikle clickjacking nedir?

Clickjacking, saldırganın kendi kontrolündeki sayfa içerisinde eklediği iframe ile hedef siteyi çağırır, görünürlüğünü düşürür, sayfayı ziyaret eden kullanıcıya başka bir işlem yaptığını düşündürerek butona tıklaması yada bağlantıya tıklaması sonucunda, hedef site üzerinde işlem yaptırabilir.

Server tarafında eklenecek olan X-Frame-Options header’ı ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verebiliriz.

X-Frame-Options başlık bilgisini üç farklı şekilde kullanabiliriz:

  1. X-Frame-Options: DENY
  2. X-Frame-Options: SAMEORIGIN
  3. X-Frame-Options: ALLOW FROM URI

DENY olarak tanımlanırsa sayfamızın iframe içerisinde çağrılması engellenecektir.

SAMEORIGIN olarak tanımlanırsa aynı origin’e sahip sayfa tarafından çağrılmasına izin vermektedir. Genellikle kullanım yöntemi bu şekildedir.

ALLOW FROM URI şeklinde tanımlandığında ise, izin verilen sayfa tarafından, sayfamız iframe içerisinde çağırılabilir.
Örnek kullanımı: X-Frame-Options: ALLOW FROM https://www.example.com/

Peki sunucu tarafında X-Frame-Options Header’ı Nasıl Eklenir?

Apache;

1- Apache, httpd.conf dosyasında:

2- Header always append X-Frame-Options SAMEORIGIN

Nginx;

1- Nginx, nginx.conf dosyasında:

2- add_header X-Frame-Options “SAMEORIGIN”;

IIS;

1- IIS web server, web.config dosyasında:

2- <system.webServer>

3- . . .

4- <httpProtocol>

5- <customHeaders>

6- <add name=”X-Frame-Options” value=”SAMEORIGIN” />

7- </customHeaders>

8- </httpProtocol>

9- . . .

10- </system.webServer>

admin

Recent Posts

“A.TR” 3. Kategori Başvuruları Başladı!

“a.tr Geçiş Süreci” kapsamında işlemlerin yürütüleceği 3. Kategori Başvuruları 14 Şubat 2024’te başladı. Bu kategori sırasıyla;… Read More

8 ay ago

Öğretmenler Günü ve 20. Yıl Kutlaması: %80 İndirim Fırsatını Kaçırmayın!

Sayın Müşterimiz,Ekonomikhost İnternet ve Bilişim Hizmetleri olarak, öğretmenlerimize ve 20. yıldönümümüze özel bir kampanya ile… Read More

1 sene ago

Fırsatları Kaçırmayın! Com.tr Alan Adınızı 65 TL’ye Kaydedin!

Siz değerli müşterilerimize her zaman daha iyi hizmet sunmanın yollarını arıyoruz vebu sefer sizin için… Read More

1 sene ago

20 Yıldır Daima Hızlı, Ekonomik ve Güvenilir Hosting | Ekonomikhost 20. yaşında

Sayın Ekonomikhost Müşterileri, Bugün Ekonomikhost olarak büyük bir gurur ve mutlulukla 20. yılımızı kutlamanın heyecanını… Read More

1 sene ago

Caching (Önbelleğe Alma) Nedir ve Nasıl Çalışır?

Caching (önbelleğe alma), bilgisayar sistemlerinde ve yazılımlarda sık kullanılan verilerin geçici olarak saklanmasıdır. Bu, veriye… Read More

1 sene ago

Windows Dijital Delil İzleri: Kabuk Çantaları(Shellbags) nedir?

Bu makalemizde Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz. Windows’ta bir pencereyi… Read More

1 sene ago