Clickjacking diagram 724769

Lindungi Situs dari Teknik ClickJacking

Tahun lalu saya telah membahas mengenai perlindungan situs dari teknik clickjacking yang memanfaatkan iframe dari situs korban ke situs target, dengan demikian hal itu dapat mengelabui pengunjung. Tulisan sebelumnya ditulis hanya pada pembahasan di ranah Nginx saja. Sedangkan untuk tulisan kali ini, saya mencoba memperluas agar bisa diterapkan dimanapun dengan atau tanpa webserver sekalipun.

Nginx

Bagi Anda pengguna Nginx bisa tambah pengaturan ini di pengaturan Nginx Anda atau pada tiap-tiap server block Anda contoh di /etc/nginx/sites-available/default.

add_header X-Frame-Options "DENY" always;

Apache

Bagi Pengguna Apache, bisa langsung dari httpd.conf

Header always append X-Frame-Options DENY

.htaccess

Kalau sulid dari httpd.conf pengguna Apache juga bisa memanfaatkan dari berkas .htaccess.

Header append X-FRAME-OPTIONS "DENY"

HTML

Ini yang paling mudah bisa langsung Anda terapkan pada HTML Anda, letakan di bawah <head>.

<meta http-equiv="X-Frame-Options" content="deny">

Tambahan

Untuk tiap kata deny di atas, bisa Anda ubah kebeberapa pilihan yakni:

  1. SAMEORIGIN
    Pengaturan ini hanya membolehkan pada halaman dirinya sendiri atau halaman original
  2. DENY
    Pengaturan ini akan menolak suatu halaman yang menampilkan situs Anda dalam suatau frame atau iframe.
  3. ALLOW-FROM URI
    Pengaturan ini hanya membolehkan mempilkan dari tautan spesifik halaman original.

Saya sendiri lebih menyarankan gunakan perintah deny.

Pengecekan

Untuk memastikan situs kita tidak terkena clickjacking attack, bisa dicek melalui situs berikut:

Jika kosong artinya situs kita sudah terlindungi dari teknik clickjacking ini.

Artikel Terkait

5 responses to “Lindungi Situs dari Teknik ClickJacking”

  1. Ayid Sudirman Avatar
    Ayid Sudirman

    Bismillah, pak Ali, web saya Tidak kosong di laman tes lookoutdotnet. Malah terbuka sempurna. Apa itu artinya belum safe dari clickjacking?
    terus, saya baru belajar memakai WordPress.org. Apa yg paling mudah untuk saya konfigurasi itu html sj? klo saya Tidak salah, sisa buka editor WordPress, cari head, dan paste kode tsb di bagian paling bawah?

    1. Ali Avatar

      Iya betul Pak. Belum safe.
      Kalau pake WP bisa langsung edit pada tema di header.php nanti tinggal paste kodenya.

  2. Ayid Sudirman Avatar
    Ayid Sudirman

    Dimana pastenya pak? gak apa-apa di bagian paling bawah header.php?

    1. Ali Avatar

      di dalam file header.php masuk appereance, editor, pilih header.php lihat di bagian kanan. nah paste di bawah

  3. Ayid Sudirman Avatar
    Ayid Sudirman

    terima kasih pak.

Leave a Reply to Ali Cancel reply

Your email address will not be published. Required fields are marked *