1. X-Frame-Options과 ClickJacking

1. X-Frame-Options과 ClickJacking

ClickJacking과 같은 공격을 무력화 하기 위해서 X-Frame-Option 같은 헤더를 사용해야 한다.

X-Frame-Options는 브라우저가 <frame>, <iframe> 혹은 <object> 항목을 렌더링 해야하는지 아니면 막아야 하는지 알려준다. X-Frame-Option은 아래와 같은 3가지 값 중 하나를 사용 할 수 있다.

Deny

해당 페이지는 frame을 랜더링 하지 않는다.

SAMEORIGIN

해당 페이지와 동일한 origin에 해당하는 frame만 렌더링 한다.

ALLOW-FROM {uri}

해당 페이지는 지정된 uri(orgin)에 해당하는 frame만 렌더링 한다.

예제

add_header X-Frame-Options SAMEORIGIN;