Forse ti viene in mente dopo un test di penetrazione della sicurezza o forse perché stai cercando di evitare che qualcuno dirotti il tuo sito o lo ricopra di pubblicità. In ogni caso, l “intestazione X-Frame-Options è un” intestazione da includere sempre nelle risposte dei siti web per migliorare la sicurezza del tuo sito e garantire una certa sicurezza ai suoi visitatori.
Questa intestazione specifica al browser come il tuo sito possa essere visualizzato all “interno di un Frame (o iFrame). Un Frame consente a una pagina web di visualizzare i contenuti di un altro sito al suo interno (spesso in modo non evidente per l” osservatore). Potresti pensare che questo non sia un problema, dopotutto si tratta di una pagina web pubblica, ma non è mai così semplice. Cosa succederebbe se qualcuno avesse registrato un nome di dominio comunemente errato e stesse visualizzando il tuo sito su di esso, utilizzando un iFrame? Potrebbero sovrapporre pubblicità o presentare una pagina di login falsa e tutto sembrerebbe assolutamente autentico, perché si tratterebbe del contenuto del tuo sito, solo servito da un “altra parte. Non c” è modo più rapido di perdere la fiducia dei clienti di quando un malintenzionato abusa di questa funzione a suo vantaggio. Ci sono usi genuini per i frame, ma molto probabilmente nessuno su cui fai affidamento.
Impostare l’intestazione X-Frame-Options su tutte le risposte è un modo semplice per evitare problemi di questo tipo. Ci sono tre valori possibili: DENY, SAMEORIGIN e ALLOWFROM;
-DENY impedirà la visualizzazione del contenuto del tuo sito in un Frame, anche da parte di un “altra pagina del tuo sito. Questo spesso va bene, ma ha l” abitudine di interrompere le applicazioni basate su Java.
-SAMEORIGIN è l’impostazione più comunemente utilizzata e significa che le pagine del tuo sito web possono essere incluse nei frame, ma solo in altre pagine dello stesso sito web.
-L’opzione -ALLOWFROM è piuttosto raffinata e raramente utilizzata: se è qualcosa di cui hai bisogno, probabilmente sai già cosa devi fare; in caso contrario, chiamaci.
Come diciamo sempre, un grande vantaggio dell’utilizzo di un bilanciatore di carico è che dobbiamo apportare modifiche in un unico punto per distribuire questa intestazione a tutti i nostri server. Non dobbiamo affidarci a sviluppatori o a riconfigurazioni di Apache. Basta importare un modello di configurazione jetPACK e assegnare una regola di traffico flightPATH al servizio virtuale che si desidera proteggere.
flightPATH è un motore di regole dinamico e basato sugli eventi sviluppato da edgeNEXUS per manipolare e instradare in modo intelligente il traffico IP, HTTP e HTTPS in modo bilanciato. È altamente configurabile e potente, ma molto facile da usare.
La regola aggiunge l’intestazione solo se non esiste, quindi funzionerà anche se i nostri server web la inseriscono già o la inseriscono solo per pagine specifiche. Questa regola dovrebbe far parte della configurazione standard del tuo Servizio Virtuale: non hai nulla da perdere, qualunque sia il sito, anche se ovviamente è sempre consigliabile fare dei test. Puoi scaricare il jetPACK dal sito Github di edgeNEXUS qui.
Questa è una delle tante regole flightPATH che abbiamo sviluppato e che puoi implementare per migliorare la sicurezza del tuo sito e dei suoi utenti. Per saperne di più sulle intestazioni HTTP relative alla sicurezza, consulta questi articoli:
- Semplificare le intestazioni HTTP di sicurezza con la gestione del traffico edgeNEXUS: X-Content-Type-Options
- Come proteggere il traffico HTTP e proteggere gli utenti con l’intestazione di sicurezza del trasporto HTTP Strict
