Volvemos con estos apuntes que me pueden salvar la vida en mas de una ocasión. Si veis algo raro que no os cuadra, por favor ponedlo en los comentarios o por Twitter. El objetivo final de estas entradas es poderlas usar en un futuro.
- <iframe src="https:www.paginaweb.com"/>
Se puede verificar viendo si la pagina legitima esta usando HTTP X-FRAME-OPTIONS, si no las esta usando es vulnerable desde el lado de cliente.
- Herramienta para ver cabeceras HTTP Online:
- https://programarivm.com/seo-cabeceras-http-online/
Se puede solucionar desde el lado del cliente usando la cabecera HTTP X-FRAME-OPTIONS otorgándole uno de los tres valores:
- DENY
- La página no podrá ser mostrada en un frame/iframe.
- SAMEORIGIN
- Solo podrá ser mostrada en un frame/iframe desde su propio dominio.
- ALLOW-FROM uri
- Solo podrá ser mostrada en un frame/iframe desde las url’s indicadas.
Información sobre como implementar/Añadir/Usar este tipo de cabeceras:
- Wordpress(editar archivo functions.php):
add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: SAMEORIGIN' );
}
- Apache(usar el fichero .htaccess):
Header always append X-Frame-Options SAMEORIGIN
- Nginx(editar fichero de configuración de Nginx):
add_header X-Frame-Options SAMEORIGIN;
Sed Buenos ;)
No hay comentarios:
Publicar un comentario