Brug X-Frame-Options og Content-Security-Policy med PHP
De fleste af nutidens browsere kan hjælpe med at beskytte dit websted mod ondsindede angreb, hvis du fortæller dem det. En metode, der næsten er universelt understøttet, er at indstille X-Frame-indstillingerne. Hvis denne indstilling er indstillet, tillader browseren ikke andre websteder at vise dit eget websted i en iframe. Dette beskytter mod clickjacking-angreb og bør bruges på alle følsomme sider såsom login-siden.
// Adds X-Frame-Options to HTTP header so that page can only be shown in an iframe of the same site.
header('X-Frame-Options: SAMEORIGIN'); // FF 3.6.9+ Chrome 4.1+ IE 8+ Safari 4+ Opera 10.5+
Brugere, der arbejder med en aktuel browser, drager automatisk fordel af, når et websted sender en indholdssikkerhedspolitik (CSP) i overskriften. Med en CSP kan du definere, hvor JavaScript-kode accepteres fra, hvilke sider der må vise din side i en iframe og mange andre ting. Hvis en browser understøtter CSP, kan dette være effektiv beskyttelse mod cross-site scripting. mere...
Implementeringen i PHP er meget enkel, men der kan opstå problemer med inline JavaScript. Du får den største beskyttelse, hvis du undgår al JavaScript i HTML-filerne og i stedet gemmer dem i separate *.js-filer. I tilfælde af at dette ikke er muligt (eksisterende kildekode), er der en mulighed for at tillade inline-script.
// Adds the Content-Security-Policy to the HTTP header.
// JavaScript will be restricted to the same domain as the page itself.
header("Content-Security-Policy: default-src 'self'; script-src 'self';"); // FF 23+ Chrome 25+ Safari 7+ Opera 19+
header("X-Content-Security-Policy: default-src 'self'; script-src 'self';"); // IE 10+