Lindungi Situs dari Teknik ClickJacking

Tahun lalu saya telah membahas mengenai perlindungan situs dari teknik clickjacking yang memanfaatkan iframe dari situs korban ke situs target, dengan demikian hal itu dapat mengelabui pengunjung. Tulisan sebelumnya ditulis hanya pada pembahasan di ranah Nginx saja. Sedangkan untuk tulisan kali ini, saya mencoba memperluas agar bisa diterapkan dimanapun dengan atau tanpa webserver sekalipun.

Nginx

Bagi Anda pengguna Nginx bisa tambah pengaturan ini di pengaturan Nginx Anda atau pada tiap-tiap server block Anda contoh di /etc/nginx/sites-available/default.

add_header X-Frame-Options "DENY" always;

Apache

Bagi Pengguna Apache, bisa langsung dari httpd.conf

Header always append X-Frame-Options DENY

.htaccess

Kalau sulid dari httpd.conf pengguna Apache juga bisa memanfaatkan dari berkas .htaccess.

Header append X-FRAME-OPTIONS "DENY"

HTML

Ini yang paling mudah bisa langsung Anda terapkan pada HTML Anda, letakan di bawah <head>.

<meta http-equiv="X-Frame-Options" content="deny">

Tambahan

Untuk tiap kata deny di atas, bisa Anda ubah kebeberapa pilihan yakni:

  1. SAMEORIGIN Pengaturan ini hanya membolehkan pada halaman dirinya sendiri atau halaman original
  2. DENY Pengaturan ini akan menolak suatu halaman yang menampilkan situs Anda dalam suatau frame atau iframe.
  3. ALLOW-FROM URI Pengaturan ini hanya membolehkan mempilkan dari tautan spesifik halaman original.

Saya sendiri lebih menyarankan gunakan perintah deny.

Pengecekan

Untuk memastikan situs kita tidak terkena clickjacking attack, bisa dicek melalui situs berikut:

Jika kosong artinya situs kita sudah terlindungi dari teknik clickjacking ini.