Lindungi Situs dari Teknik ClickJacking
Tahun lalu saya telah membahas mengenai perlindungan situs dari teknik clickjacking yang memanfaatkan iframe dari situs korban ke situs target, dengan demikian hal itu dapat mengelabui pengunjung. Tulisan sebelumnya ditulis hanya pada pembahasan di ranah Nginx saja. Sedangkan untuk tulisan kali ini, saya mencoba memperluas agar bisa diterapkan dimanapun dengan atau tanpa webserver sekalipun.
Nginx
Bagi Anda pengguna Nginx bisa tambah pengaturan ini di pengaturan Nginx Anda atau pada tiap-tiap server block Anda contoh di /etc/nginx/sites-available/default.
add_header X-Frame-Options "DENY" always;
Apache
Bagi Pengguna Apache, bisa langsung dari httpd.conf
Header always append X-Frame-Options DENY
.htaccess
Kalau sulid dari httpd.conf pengguna Apache juga bisa memanfaatkan dari berkas .htaccess.
Header append X-FRAME-OPTIONS "DENY"
HTML
Ini yang paling mudah bisa langsung Anda terapkan pada HTML Anda, letakan di bawah <head>.
<meta http-equiv="X-Frame-Options" content="deny">
Tambahan
Untuk tiap kata deny di atas, bisa Anda ubah kebeberapa pilihan yakni:
- SAMEORIGIN Pengaturan ini hanya membolehkan pada halaman dirinya sendiri atau halaman original
- DENY Pengaturan ini akan menolak suatu halaman yang menampilkan situs Anda dalam suatau frame atau iframe.
- ALLOW-FROM URI Pengaturan ini hanya membolehkan mempilkan dari tautan spesifik halaman original.
Saya sendiri lebih menyarankan gunakan perintah deny.
Pengecekan
Untuk memastikan situs kita tidak terkena clickjacking attack, bisa dicek melalui situs berikut:
- https://online.attacker-site.com/html5/ClickjackingTester/
- https://www.lookout.net/test/clickjack.html
Jika kosong artinya situs kita sudah terlindungi dari teknik clickjacking ini.