ربما تلفت انتباهك بعد اختبار اختراق أمني أو ربما لأنك تحاول منع بعض الأطراف من اختطاف موقعك أو تراكبه بالإعلانات. في كلتا الحالتين فإن رأس X-Frame-Options هو رأس جيد يجب تضمينه دائمًا في ردود الموقع الإلكتروني لتحسين أمان موقعك وتوفير بعض الأمان لزواره.
يحدد هذا العنوان للمتصفح كيفية عرض موقعك داخل إطار (أو iFrame). يسمح الإطار لصفحة ويب واحدة بعرض محتوى من موقع آخر داخلها (غالبًا بطريقة غير واضحة للمشاهد). قد لا تظن أن هذه مشكلة، فهي صفحة ويب عامة في النهاية، لكن الأمر ليس بهذه البساطة. ماذا لو قام شخص ما بتسجيل خطأ إملائي شائع لاسم نطاقك وكان يعرض موقعك عليه باستخدام إطار iFrame؟ يمكن أن يقوموا بتراكب الإعلانات أو تقديم صفحة تسجيل دخول مزيفة وسيبدو كل ذلك أصليًا تمامًا، لأنه سيكون محتوى موقعك – فقط يتم تقديمه من مكان آخر. لا توجد طريقة أسرع لفقدان ثقة العملاء من إساءة استخدام هذه الميزة لصالحهم. هناك استخدامات حقيقية للإطارات، ولكن من المحتمل جدًا ألا تعتمد على أي منها.
يعد تعيين رأس X-Frame-Options على جميع استجاباتك طريقة بسيطة لمنع حدوث مشكلات من هذا النوع. هناك ثلاث قيم ممكنة؛ DENY و SAMEORIGIN و ALLOWFROM;
-DENY سيمنع عرض محتوى موقعك في إطار، حتى بواسطة صفحة أخرى على موقعك. غالبًا ما يكون هذا الأمر جيدًا ولكن من عادته تعطيل التطبيقات المستندة إلى Java.
-SAMEORIGIN هو الإعداد الأكثر استخدامًا ويعني أنه يمكن تضمين الصفحات الموجودة على موقعك الإلكتروني في إطارات، ولكن فقط على صفحات أخرى داخل الموقع الإلكتروني نفسه.
-ALLOWFROM دقيق إلى حد ما ونادرًا ما يُستخدم – إذا كان هذا شيء تحتاجه، فربما تعرف ما تحتاج إليه – إذا لم يكن كذلك، اتصل بنا.
كما نقول دائمًا، من المزايا القوية لاستخدام موازن التحميل أنه لا يتعين علينا إجراء تغييرات في مكان واحد فقط من أجل نشر هذا الرأس على جميع خوادمنا. لا نحتاج إلى الاعتماد على المطورين أو إعادة تكوين Apache. ما عليك سوى استيراد قالب تهيئة jetPACK وتعيين قاعدة حركة مرور مسار الرحلة إلى أي خدمة (خدمات) افتراضية ترغب في حمايتها.
برنامج flightPath هو محرك قواعد ديناميكي قائم على الأحداث تم تطويره بواسطة edgeNEXUS لمعالجة وتوجيه حركة مرور بروتوكول الإنترنت وحركة مرور HTTP و HTTPS المتوازنة بذكاء. إنه قابل للتكوين وقوي للغاية، ولكنه سهل الاستخدام للغاية.
تضيف القاعدة الرأس فقط إذا لم يكن موجودًا، لذا ستعمل حتى في حالة قيام خوادم الويب الخاصة بنا بإدراجه بالفعل أو إدراجها لصفحات محددة فقط. يجب أن تكون هذه القاعدة جزءًا من تهيئة الخدمة الافتراضية القياسية الخاصة بك – ليس لديك ما تخسره مهما كان الموقع على الرغم من أنه يوصى دائمًا بإجراء الاختبار. يمكنك تنزيل حزمة jetPACK على موقع EdgeNEXUS Github هنا.
هذه واحدة من العديد من قواعد مسار الرحلة التي طورناها، والتي يمكنك نشرها لتحسين أمان موقعك ومستخدميه. لمعرفة المزيد حول رؤوس HTTP المتعلقة بالأمان، راجع هذه المقالات:
- تبسيط رؤوس HTTP الأمنية مع إدارة حركة مرور EdgeNEXUS: X-Contentent-Type-Options
- كيفية تأمين حركة مرور HTTP وحماية المستخدمين باستخدام رأس أمان النقل الصارم HTTP Strict Transport Security Header
