0

我添加了

<meta http-equiv="X-Frame-Options" content="deny">

header.tpl文件中,但它不起作用并引发错误。

X-Frame-Options 只能通过与文档一起发送的 HTTP 标头来设置。里面可能没有设置。

我还添加了

Header always append X-Frame-Options SAMEORIGIN

.htaccess文件中的行。但这也行不通。

那么如何防止我的网站上的点击劫持?

供参考: 点击劫持防御备忘单 | OWASPX-Frame-Options - HTTP

4

1 回答 1

0

我建议您编辑 PrestaShop 根文件夹安装中的 .htaccess,并在“# ~~start~~ 不要删除...”标识的行之前添加以下块:

# Extra Security Headers
<IfModule mod_headers.c>
   Header set Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' *.googleapis.com *.gstatic.com;"
   Header set X-XSS-Protection "1; mode=block"
   Header always append X-Frame-Options SAMEORIGIN
   Header set X-Content-Type-Options nosniff
   Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
</IfModule>

这将提供以下保护:点击劫持 - 内容嗅探 - XSS 攻击

于 2022-01-05T10:17:30.843 回答