Clickjack tuzagn engellemenin yolu

Clickjack Tuzagını Engellemenin Yolu¶

Araştırdığım zaman bu açığın bir kaç satır javascript kodu ile de engellenebildiğini ve
sağlıklı olmadığını okudum.

X-Frame-Options Nedir?¶

Kendileri HTTP response header’i olup, X-Frame-Options Bir tarayıcının <frame>,
<iframe>, <embed> veya <object> içinde bir sayfa oluşturmasına izin verilip
verilmeyeceğini belirtmek için bu HTTP yanıt başlığı \(X-Frame-Options\) kullanılabilir.
Siteler, içeriğinin başka sitelere gömülmemesini sağlayarak, tıklatma saldırılarını \( clickjack \) önlemek için bunu kullanır. Kısacası bu tuzağı engellemenın yolu
X-Frame-Options‘dan geçer, peki ama nasıl?

X-Frame-Options için 3 olası sonuç vardır.

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

• deny bütün alan adlarına izin verir
• sameorigin yalnızca sayfanın kendisi ile aynı kökene sahip bir çerçevede olduğunda
  izin verir, bundan dolayı kullanımı pek tavsiye edilmez, birden fazla siteye istemeden
  izin vermiş olabilirsiniz.
• allow-from https://example.com/ sadece example.com
  sitesine izin verir.

Not; Html dosyamızda <head> </head> etiketleri arasına
<meta http-equiv="X-Frame-Options" content="deny"> yazarak engellenemez.

Örnek olarak stackoverflow’da bir arkadaşın isyanına bakabilirsiniz,
x-frame-options-is-not-working-in-meta-tag