Типовая проблема

X-Frame-Options отсутствует

Severity: Средний

X-Frame-Options — HTTP-заголовок, запрещающий или ограничивающий встраивание страницы в iframe. Без него злоумышленник может разместить вашу страницу в прозрачном iframe поверх другого контента и обманом заставить пользователя совершить действие (clickjacking).

Проверить мой сайт

Симптомы

  • Заголовок X-Frame-Options отсутствует в ответе
  • Или CSP не содержит frame-ancestors директиву
  • AuditGuard: finding 'X-Frame-Options: missing'

AuditGuard обнаруживает эту проблему автоматически.

Почему это риск

Clickjacking позволяет злоумышленнику заставить пользователя сделать клик, который выполнит нежелательное действие на вашем сайте: нажать кнопку, подтвердить транзакцию, изменить настройки. Особенно опасно для страниц с авторизацией и формами.

Как исправить

Шаг 1

Nginx: add_header X-Frame-Options "SAMEORIGIN" always;

Шаг 2

Apache: Header always set X-Frame-Options "SAMEORIGIN"

Шаг 3

Альтернатива через CSP: Content-Security-Policy: frame-ancestors 'self' (более современный способ)

Шаг 4

DENY — полный запрет встраивания

Шаг 5

SAMEORIGIN — только из того же домена

Шаг 6

Для nginx убедитесь, что директива в блоке server или location

Как AuditGuard обнаруживает проблему

AuditGuard проверяет наличие X-Frame-Options в ответных заголовках и наличие frame-ancestors в Content-Security-Policy.

Проверьте ваш сайт прямо сейчас

AuditGuard находит эту проблему и 340+ других автоматически. Результат — за 2–5 минут.

Запустить аудит