我已经制作了一个最近经过渗透测试的应用程序。我需要将应用程序中的X-Frame选项设置为SAMEORIGIN。这是为了防止点击劫持。我相信这可以在App.yaml文件中实现,但我不确定如何实现这样的东西。我已经扫描了文档但仍然无法解决如何拒绝,只允许。
handlers:
- url: /.*
script: public/index.php
http_headers:
X-Frame-Options SAMEORIGIN
答案 0 :(得分:1)
我已经使用Laravel 5.1中的中间件找到了解决方案
中间件称为FrameGuard,存储在以下
中照亮\ HTTP \中间件\ FrameGuard
要启用此功能,请将以下行添加到受保护的中间件阵列
'Illuminate\Http\Middleware\FrameGuard',
这会将帧头选项设置为SAMEORIGIN,如果需要可以更改。
这可以防止Laravel应用程序中的Clickjacking漏洞
答案 1 :(得分:0)
对于任何对此绊脚石的人来说,http_headers不起作用的原因是,它只能像mentioned in the doc.一样应用于静态文件处理程序:
可选。您可以为静态文件或目录处理程序的响应设置HTTP标头。 如果您需要在脚本处理程序中设置HTTP标头,则应在应用程序的代码中进行设置。