用 .htaccess 加 X-Frame-Options 防点击劫持
点击劫持攻击会让用户在不知情的情况下点击网银转账或修改密码确认按钮。本文从 2008 Twitter Don't Click 蠕虫和 2018 Facebook Likejacking 案例切入,把 X-Frame-Options 三种取值、Apache 与 Nginx 与 PHP 三种添加方式对照、CSP frame-ancestors 现代化替代、CDN 反向代理覆盖响应头排查、6 个安全头同步加固完整组合都讲清楚。
23 分钟阅读
htaccess
Typecho SEO
X-frame-options