2017年5月11日 星期四

【PHP】X-Frame-Options 回應標頭

這幾天使用 Checkmarx 做白箱弱掃時,Javascript 的部份一直出現一個中度風險的項目:

【Client Cross Frame Scripting Attack】

Google 了一下似乎在 PHP 內的 header 加上 X-Frame-Options 相關設定就能解決此問題

在 PHP 頁面中各別設定:

完全禁止任何 iframe 請求
```php header("X-Frame-Options: DENY") ``` 只允許同 Domain 來源的請求
```php header("X-Frame-Options: SAMEORIGIN") ``` 只允許某網址的請求
```php header("X-Frame-Options: ALLOW-FROM http://www.google.com") ```

在 Apache 中設定:

```php Header always append X-Frame-Options DENY ```
雖然此方應該能有效避免【Client Cross Frame Scripting Attack】這類攻擊,
但在 Checkmarx 的白箱弱掃時,似乎還是會誤判為無效,待持續觀察 ...