Descripción: El servidor no devolvió un encabezado X-Frame-Options, lo que significa que este sitio web podría estar en riesgo de un ataque clickjacking.

Clickjacking es un ataque que engaña a un usuario web para hacer clic en un botón, un enlace o una imagen, etc. ya que superpone la página web con un iframe (elemento HTML que permite insertar o incrustar un documento HTML dentro de un documento HTML principal). Esta técnica malintencionada puede potencialmente exponer información confidencial o tomar el control de la computadora del usuario.

CVE: N/A
Factor de Riesgo: Medio
Valor CVSS Base: 4,3

Solución:

Hay tres ajustes para las opciones de X-Frame:

SAMEORIGIN: Este ajuste permitirá que la página se muestre en el marco en el mismo origen que la propia página.
DENY: Esta configuración impide que una página se muestre en un marco o iframe.
ALLOW-FROM: Este ajuste permitirá que la página se muestre sólo en el origen especificado.

Para Apache, IBM HTTP Server y Web IIS:

  • Configuración sobre Apache HTTP Server: En el Apache Web Server agregue la siguiente línea en el archivo httpd.conf y seguidamente reinicie:

Header always append X-Frame-Options SAMEORIGIN

  • Si su sitio web está alojado en sitio web compartido, lo más posible que no tendrá permiso para modificar httpd.conf. Sin embargo, puede implementar las siguiente línea en el archivo .htaccess

Header append X-FRAME-OPTIONS “SAMEORIGIN”

  • Configuración en IIS Internet Information Server

IIS permite configurar un encabezado HTTP, la cual aplicará para todo el contenido en un servidor, sitio o aplicación web. Para realizar este procedimiento es necesario hacerlo desde el administrador del IIS y navegar hasta el nivel que se desea modificar.

En vista de funciones, hacer doble clic en Encabezados de respuesta HTTP.

En la página Encabezados de respuesta HTTP, en el panel de Acciones, hacer clic en Agregar.

En el cuadro de diálogo Agregar el encabezado de respuesta HTTP personalizado, escribir un nombre y un valor o conjunto de valores separados por comas (,).

Despues de agregar  el nombre y el valor aparece de la siguiente manera:

Referencia:

https://geekflare.com/secure-apache-from-clickjacking-with-x-frame-options/

https://blog.guayoyolabs.com/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa

https://www.codeproject.com/Articles/1223383/Securing-HTTP-response-header-via-IIS

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like