修補Clickjacking CSP frame-ancestors missing弱點
前陣子弱點掃描碰到了這個問題記錄一下,這邊選擇修改.htaccess進行調整。
似乎是比較新的協議規則,功能與X-Frame-Options設定完全一樣,可能以後打算把限制都移到csp設定上面
目前的情況變成要兩種設定都設掃描才會通過了
方法
以.htaccess上來說,在原本的設定最後面加上; base-uri 'none'
範例:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 其他設定...(略); base-uri 'none';"
</IfModule>
設定對應如下,擺一起的就是等於相同設定
X-Frame-Options: DENY
Content-Security-Policy: frame-ancestors 'none'
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: frame-ancestors 'self'
X-Frame-Options: ALLOW-FROM 網址
Content-Security-Policy: frame-ancestors 網址
參考資料
https://www.acunetix.com/vulnerabilities/web/clickjacking-csp-frame-ancestors-missing/
https://blog.huli.tw/2021/09/26/what-is-clickjacking/