Defaults.Exposed › Виправлення › Clickjacking protection (X-Frame-Options)

Як виправити Clickjacking protection (X-Frame-Options)

Однорядкова інструкція, що каже браузерам не дозволяти іншим сайтам таємно завантажувати ваш сайт всередині свого. Без неї шахрай може приховати ваші справжні, авторизовані сторінки за підробленою сторінкою і змусити ваших клієнтів натискати те, що вони ніколи не мали на увазі — підтверджувати платіж, змінювати пароль, надавати доступ.

Висновок для вашого бізнесу: Шахрай може невидимо обгорнути ваш живий сайт всередині підробленого і вкрасти гроші або доступ до облікових записів у авторизованих клієнтів — і для клієнта виглядає так, ніби це ваш сайт це зробив. Виправлення безкоштовне і займає у розробника близько 15 хвилин; залишення без нього — відома прогалина, яку як злочинці, так і обережні покупці можуть помітити за секунди.

Що це може вам коштувати

• Шахрай приховує вашу справжню сторінку авторизації або оплати за нешкідливою виглядом сторінкою і обманює клієнта в 'підтвердженні' переказу або зміни налаштування, не усвідомлюючи цього — клієнт звинувачує вас, а не зловмисника.
• Ваша авторизована область облікового запису невидимо завантажується поверх 'Ви виграли — натисніть, щоб отримати' сторінки; натискання фактично підтверджує реальну зміну в обліковому записі клієнта, і ви отримуєте розлючений дзвінок підтримки.
• IT-відділ потенційного клієнта запускає швидке сканування безпеки перед підписанням, бачить, що ваш сайт може бути вбудований будь-ким, і позначає це як ризик, що зупиняє або знищує угоду.
• Ваш бренд стає наживкою у шахрайській кампанії; клієнти, яких обманули, пам'ятають це як 'компанія, чий сайт дозволив це статися'.
• Сканування аудитора або кіберстрахування перераховує відсутній захист від clickjacking як базовий збій гігієни — дешево виправити, ганебно мати позначеним.

Чому це важливо. Це безкоштовне однорядкове налаштування, що займає хвилини для додавання, і воно закриває цілий клас обманів, спрямованих на ваших авторизованих клієнтів. В нашому оцінюванні це перевірка безпеки, що дає реальні бали, і оцінюється як висока серйозність, бо відсутній заголовок залишає відому, легко перевірювану дірку, яку злочинці автоматизують і на яку покупці звертають увагу.

Що це таке — простими словами

Коли хтось відвідує ваш сайт, їхній браузер також може бути вказаний завантажувати ваш сайт всередині іншого сайту — як маленьке вікно, вбудоване у більшу сторінку. Це звучить нешкідливо, і іноді це так. Але це механізм, що стоїть за атакою, що називається clickjacking.

Ось хитрість. Шахрай будує власну сторінку і тихо завантажує ваш справжній сайт всередині неї — невидимо, зробленим повністю прозорим. Потім вони накладають власний контент поверх: яскраву кнопку, «Відтворити відео», «Отримайте свій приз». Ваш клієнт бачить сторінку зловмисника і натискає те, що виглядає як нешкідлива кнопка. Але оскільки ваш справжній сайт сидить невидимо під їхнім курсором, натискання фактично потрапляє на вашу сторінку — підтверджуючи платіж, змінюючи пароль, схвалюючи доступ, приймаючи дозвіл. Клієнт думає, що натиснув одне; він насправді натиснув інше — на сайті, якому довіряє.

Захист від clickjacking — коротка, невидима інструкція, яку ваш сайт надсилає браузеру кожного відвідувача, що каже по суті:

«Не дозволяй іншим сайтам завантажувати мене всередині себе. Якщо хтось намагається, відмов».

Сучасні браузери автоматично підкоряються цьому. З увімкненим захистом хитрість просто не працює — вбудована копія вашого сайту відмовляється завантажуватись. Без нього ваш сайт може бути використаний як прихований шар у шахрайстві, і клієнт, якого обманули, асоціюватиме все це з вашим брендом, а не брендом зловмисника.

Що це може коштувати вам

Ось реалістичні, повсякденні сценарії.

1. Невидиме «підтвердження». Клієнт авторизується на вашому порталі облікового запису в одній вкладці. Він потрапляє на сторінку (через рекламу, лист, результат пошуку), що обіцяє щось привабливе і показує велику кнопку «Продовжити». Прихована під цією кнопкою — ваша реальна кнопка «Підтвердити переказ» або «Змінити email», завантажена з їхньої власної авторизованої сесії. Вони натискають «Продовжити» — і мимоволі авторизують зміну у своєму фактичному обліковому записі у вас. Для них і для вашої команди підтримки виглядає так, ніби вони це зробили на вашому сайті.

2. Захоплення налаштувань. Зловмисник оздоблює вашу сторінку налаштувань облікового запису і накладає нешкідливу гру або опитування. Кілька натискань у правильних місцях тихо перемикають налаштування — додаючи email зловмисника як адресу для відновлення, надаючи дозвіл застосунку або вимикаючи сповіщення безпеки. Обліковий запис тепер тихо скомпрометований.

3. Угода, що зависла. Більший клієнт надсилає стандартний опитувальник безпеки перед підписанням. Одне запитання: чи встановлює ваш сайт захист від фреймування (X-Frame-Options / CSP frame-ancestors)? Ваш IT-контакт має відповісти «ні», і закупівлі призупиняються, поки ви поспіхом виправляєте безкоштовне 15-хвилинне налаштування, що тепер виглядає як тривожний сигнал.

4. Кампанія з вашим брендом як наживкою. Оскільки ваші справжні, довірені сторінки можуть бути вбудовані, зловмисник використовує ваш логін або касу як переконливий шар у ширшій фішинговій кампанії. Клієнти, що потрапляють, не звинувачують таємничого зловмисника — вони пам’ятають це як час, коли «ваш сайт» дав їм бути обманутими.

5. Позначка аудиту. Сканування страховика або аудитор, що перевіряє ваш стан безпеки, перераховує відсутній захист від clickjacking серед знахідок. Це підручна базова гігієна; наявність його позначеного сигналізує, що прості, безкоштовні засоби захисту не були на місці — що забарвлює те, як оцінюється решта вашої безпеки.

Що це насправді є

Коли браузер запитує сторінку вашого сайту, ваш сервер надсилає назад сторінку плюс кілька невидимих «заголовків» — додаткові інструкції, які браузер читає, але відвідувач ніколи не бачить. Захист від clickjacking доставляється через ці заголовки. Є два, і наша перевірка проходить, якщо присутній будь-який з них:

1. Старіший заголовок — X-Frame-Options:

X-Frame-Options: SAMEORIGIN

Це довготривалий, широко підтримуваний контроль. Він приймає одне з двох практичних значень:

• SAMEORIGIN — ваш власний сайт може вбудовувати власні сторінки, але жоден зовнішній сайт не може. Безпечний стандарт для майже всіх.
• DENY — ніхто не може вбудовувати ваші сторінки, включно з вами. Використовуйте лише якщо ваш сайт ніколи не фреймує власний контент.

2. Сучасний заголовок — Content-Security-Policy frame-ancestors:

Content-Security-Policy: frame-ancestors 'self';

Це новіший, гнучкіший контроль, на який вказують поточні стандарти. Він виконує ту ж роботу, але дозволяє бути точним щодо того, хто може вас вбудовувати:

• frame-ancestors 'self' — еквівалент SAMEORIGIN.
• frame-ancestors 'none' — еквівалент DENY.
• frame-ancestors 'self' https://partner.example.com — ваш власний сайт плюс один іменований, довірений партнер, і ніхто інший.

Як виглядає «добре»

Найсильніше налаштування використовує обидва: frame-ancestors для сучасних браузерів (і для точності іменування дозволених вбудовувачів) і X-Frame-Options: SAMEORIGIN як запасний варіант для старіших клієнтів. Наша перевірка задоволена будь-яким із них сам по собі — але оскільки обидва безкоштовні і займають ті самі кілька хвилин, немає причини не встановлювати обидва.

Одна важлива деталь, яку повинен знати ваш розробник: заголовок Content-Security-Policy-Report-Only не застосовує нічого — він лише звітує. Якщо ви хочете, щоб захист від clickjacking дійсно набрав чинності, він повинен виходити від застосовуючого заголовка (звичайного Content-Security-Policy з frame-ancestors або X-Frame-Options), а не від заголовка лише звітування.

Як це виправити (безкоштовно, ~15 хвилин)

Передайте цей розділ тому, хто керує вашим сайтом — вашому IT-фахівцю, веб-розробнику або підтримці хостингу. Виправлення безкоштовне. Це один або два заголовки відповіді або правило у вашому CDN. Нічого купувати.

Перевірка проходить, коли присутній або заголовок X-Frame-Options (встановлений на DENY або SAMEORIGIN) або директива CSP frame-ancestors. Рекомендоване налаштування «пасок і підтяжки» додає обидва.

Крок 1 — Вирішіть, наскільки суворим бути

• Більшість бізнесів: SAMEORIGIN / frame-ancestors 'self'. Ваш власний сайт продовжує нормально працювати; аутсайдери заблоковані.
• Якщо ваш сайт ніколи не вбудовує власні сторінки: DENY / frame-ancestors 'none' для максимального блокування.
• Якщо справжній партнер повинен вбудовувати конкретну сторінку: іменуйте їх явно через frame-ancestors 'self' https://partner.example.com; і ніхто інший не потрапляє.

Крок 2 — Додайте заголовки (оберіть вашу платформу)

Nginx — всередині вашого блоку server:

add_header X-Frame-Options "SAMEORIGIN" always;
add_header Content-Security-Policy "frame-ancestors 'self';" always;

Apache — переконайтеся, що mod_headers увімкнено, потім у вашому virtual host:

Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self';"

Microsoft IIS — у web.config всередині <customHeaders>:

<add name="X-Frame-Options" value="SAMEORIGIN" />
<add name="Content-Security-Policy" value="frame-ancestors 'self';" />

Cloudflare (або подібний CDN): перейдіть до Rules → Transform Rules → Modify Response Header і додайте два правила, що встановлюють X-Frame-Options на SAMEORIGIN і Content-Security-Policy на frame-ancestors 'self'; для всіх відповідей. Це найлегший шлях, якщо у вас немає прямого доступу до сервера.

Вже надсилаєте Content-Security-Policy з інших причин? Не створюйте другого заголовку CSP — додайте frame-ancestors до вашої існуючої політики. Два заголовки CSP можуть конфліктувати.

Конструктори сайтів (Squarespace, Wix, Shopify тощо): ці платформи часто встановлюють захист від фреймування для вас, тому ви можете вже проходити без жодних дій. Якщо наша перевірка позначає, контроль зазвичай у налаштуваннях безпеки платформи, або ви додаєте його у CDN перед сайтом.

Крок 3 — Перезавантажте і перевірте

Перезавантажте веб-сервер або розгорніть правило CDN, потім завантажте ваш живий сайт і перевірте заголовки відповіді — засоби розробника браузера → вкладка Мережа → натисніть запит сторінки → Response Headers. Підтвердіть, що заголовок(и) з’являються на реальних відповідях сторінок, а не лише на головній сторінці. Потім повторно запустіть перевірку.

Поширені помилки

• Використання лише звітування CSP і думка, що ви захищені. Content-Security-Policy-Report-Only лише звітує про порушення — він нічого не застосовує. Вам потрібен застосовуючий заголовок для набрання чинності захистом.
• Встановлення двох окремих заголовків Content-Security-Policy. Якщо у вас вже є CSP, додайте frame-ancestors до нього, а не видавайте другу політику; конфліктуючі заголовки CSP можуть викликати несподівану поведінку.
• Встановлення DENY, коли ваш власний сайт вбудовує власні сторінки. DENY блокує всі фреймування, включно з вашим власним. Якщо будь-яка частина вашого сайту використовує iframe самого себе, замість цього використовуйте SAMEORIGIN / frame-ancestors 'self'.
• Захист лише головної сторінки. Сторінки, що найбільше мають значення для clickjacking, — це авторизовані — налаштування облікового запису, підтвердження платежу, адміністрування. Переконайтеся, що заголовки застосовуються по всьому сайту, а не лише до головної сторінки.
• Припускати, що HTTPS або замок вже охоплюють це. Шифрування і захист від фреймування не пов’язані. Ідеальний сертифікат нічого не робить для зупинки вбудовування ваших сторінок.
• Покладатися на старі обхідні шляхи. «Frame-busting» JavaScript (скрипти, що намагаються вирватись з фреймів) ненадійний і може бути обійдений. Заголовки — це правильне, застосоване браузером виправлення.

FAQ