Налаштування захисту від Clickjacking (X-Frame-Options) на сайті

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.

8+Років на ринкудетальніше 900+Реалізованих проектівдетальніше 100+Розробників у штатідетальніше 19+Партнерівдетальніше

Розробка та обслуговування будь-яких видів сайтів:

Інформаційні сайти або веб-програми

Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори

Сайти або веб-програми електронної комерції

Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів

Веб-програми для управління бізнес-процесами

CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації

Сайти або веб-програми електронних послуг

Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги

Показано 1 з 1 послугУсі 2065 послуг

Налаштування захисту від Clickjacking (X-Frame-Options) на сайті

Проста

~2-3 години

Часті питання

Наші компетенції:

Безкоштовна консультація

Замовте безкоштовну консультацію, якщо у вас є питання. Профільний спеціаліст вас проконсультує.

Розрахунок вартості

Якщо ви знаєте, що вам потрібно розробити, або у вас вже є готове технічне завдання.

Етапи розробки

Останні роботи

Розробка сайту компанії B2B ADVANCE
1262
Розробка веб-додатків для компанії FEEDME
1171
Розробка веб-сайту для компанії БЕЛФІНГРУП
874
Розробка інтернет магазину для компанії FURNORO
1094
Розробка веб-додатків для компанії Enviok
831
Розробка веб-сайту для компанії ФІКСПЕР
851

Показати більше робіт

Налаштування захисту від Clickjacking (X-Frame-Options) для сайту

Clickjacking — атака, при якій зловмисник вбудовує ваш сайт в прозорий iframe поверх іншої сторінки. Користувач думає, що кликає по кнопці стороннього сайту, але насправді взаємодіє з вашим. Наслідки: непередбачені переводи грошей, зміна настроєк, підтвердження дій.

Заголовок X-Frame-Options

Забороніть браузеру вбудовувати сторінку в iframe:

add_header X-Frame-Options "DENY" always;
# або
add_header X-Frame-Options "SAMEORIGIN" always;

Значення	Поведінка
`DENY`	Забороняє вбудовування везде
`SAMEORIGIN`	Дозволяє тільки з того ж домену
`ALLOW-FROM uri`	Застарілий, не підтримується сучасними браузерами

CSP frame-ancestors — сучасна альтернатива

X-Frame-Options застарілий, frame-ancestors у CSP дає більше гнучкості:

add_header Content-Security-Policy "frame-ancestors 'none'" always;
# або
add_header Content-Security-Policy "frame-ancestors 'self' https://trusted-partner.ua" always;

frame-ancestors 'none' — еквівалент X-Frame-Options: DENY. Для максимальної сумісності встановлюють обидва заголовки.

Налаштування в Apache

Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self'"

Налаштування в Laravel

// app/Http/Middleware/SecurityHeaders.php
public function handle($request, Closure $next)
{
    $response = $next($request);
    $response->header('X-Frame-Options', 'DENY');
    $response->header('Content-Security-Policy', "frame-ancestors 'none'");
    return $response;
}

Виключення для віджетів

Якщо частина сайту намисно вбудовується (платіжна форма, віджет, embed-плеєр), застосовувати гранульовану настройку через CSP на конкретних маршрутах, а не глобально.

Строк реалізації

Настройка заголовків — 1–2 години включаючи тестування у всіх цільових браузерах.