我做了一个最近通过渗透测试的应用程序。我需要将应用程序中的 X-Frame 选项设置为 SAMEORIGIN。这是为了防止点击劫持。我相信这在 App.yaml 文件中是可能的,但我不确定如何实现这样的东西。我已经扫描了文档,但仍然无法弄清楚如何拒绝,只允许。
handlers:
- url: /.*
script: public/index.php
http_headers:
X-Frame-Options SAMEORIGIN
我在 Laravel 5.1 中使用中间件找到了解决方案
中间件称为 FrameGuard,存储在以下位置
照亮\Http\Middleware\FrameGuard
要启用此功能,将以下行添加到受保护的中间件数组
'Illuminate\Http\Middleware\FrameGuard',
这会将帧头选项设置为 SAMEORIGIN,如果需要可以更改。
这可以防止 Laravel 应用程序中的 Clickjacking 漏洞
对于任何对此绊脚石的人来说,它不起作用的原因http_headers是因为它只能应用于静态文件处理程序,如文档中所述。:
可选的。您可以为静态文件或目录处理程序的响应设置 HTTP 标头。如果您需要在脚本处理程序中设置 HTTP 标头,则应改为在应用程序代码中执行此操作。