Aldono de la X-Frame-Options kapo

tejoesperanto / pasportaservo

La fontkodo de Pasporta Servo

https://www.pasportaservo.org

Other

68 stars 16 forks source link

Aldono de la X-Frame-Options kapo #95

Closed batisteo closed 6 years ago

batisteo commented 7 years ago

server {
    add_header X-Frame-Options DENY;
}

Alia ebla opcio: SAMEORIGIN.

Gvidlinioj: https://wiki.mozilla.org/Security/Guidelines/Web_Security#X-Frame-Options

interDist commented 7 years ago

PS.org jam sendas tian kaplinion (X-Frame-Options: SAMEORIGIN) danke al Dĵango kaj django.middleware.clickjacking.XFrameOptionsMiddleware.

HTTP/1.1 200 OK
Server: nginx/1.10.3
Date: Tue, 18 Apr 2017 11:30:00 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Vary: Accept-Encoding
X-Frame-Options: SAMEORIGIN
Vary: Cookie
Content-Length: 12914

batisteo commented 7 years ago

Ho, prave.

Ĉu SAMEORIGIN estas sufiĉe?

interDist commented 7 years ago

PS nuntempe ne uzas iun trans-kadran skriptadon laŭ mi, do ni povas altigi al DENY. (Krom OSM, ankaŭ ne estas iuj kadroj en la retejo.) Je bezono en estonto ĉiam eblos reagordi al SAMEORIGIN.

batisteo commented 6 years ago

Ŝajnas sufiĉe bone tiel, kiel nun estas.