EkonomikHost Bilgi Bankası

X-Frame-Options Header’ı ile clickjacking ataklara karşı koruma sağlayabiliriz. Ekleyeceğimiz X-Frame-Options başlık bilgisi ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verebiliriz.

Öncelikle clickjacking nedir?

Clickjacking, saldırganın kendi kontrolündeki sayfa içerisinde eklediği iframe ile hedef siteyi çağırır, görünürlüğünü düşürür, sayfayı ziyaret eden kullanıcıya başka bir işlem yaptığını düşündürerek butona tıklaması yada bağlantıya tıklaması sonucunda, hedef site üzerinde işlem yaptırabilir.

Server tarafında eklenecek olan X-Frame-Options header’ı ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verebiliriz.

X-Frame-Options başlık bilgisini üç farklı şekilde kullanabiliriz:

1. X-Frame-Options: DENY
2. X-Frame-Options: SAMEORIGIN
3. X-Frame-Options: ALLOW FROM URI

DENY olarak tanımlanırsa sayfamızın iframe içerisinde çağrılması engellenecektir.

SAMEORIGIN olarak tanımlanırsa aynı origin’e sahip sayfa tarafından çağrılmasına izin vermektedir. Genellikle kullanım yöntemi bu şekildedir.

ALLOW FROM URI şeklinde tanımlandığında ise, izin verilen sayfa tarafından, sayfamız iframe içerisinde çağırılabilir.
Örnek kullanımı: X-Frame-Options: ALLOW FROM https://www.example.com/

Peki sunucu tarafında X-Frame-Options Header’ı Nasıl Eklenir?

Apache;

1- Apache, httpd.conf dosyasında:

2- Header always append X-Frame-Options SAMEORIGIN

Nginx;

1- Nginx, nginx.conf dosyasında:

2- add_header X-Frame-Options “SAMEORIGIN”;

IIS;

1- IIS web server, web.config dosyasında:

2- <system.webServer>

3- . . .

4- <httpProtocol>

5- <customHeaders>

6- <add name=”X-Frame-Options” value=”SAMEORIGIN” />

7- </customHeaders>

8- </httpProtocol>

9- . . .

10- </system.webServer>