Clickjacking

header("X-Frame-Options: SAMEORIGIN");

X-Frame-Options: Sử dụng tiêu đề HTTP "X-Frame-Options" để chỉ định cách trang web của bạn được nhúng vào một khung (frame) từ một trang web khác. Các giá trị cho tiêu đề này bao gồm:

• DENY: Ngăn chặn trang web của bạn khỏi việc nhúng vào bất kỳ khung nào.

    


    
Deny X-Frame-Options Demo
    
This page uses X-Frame-Options with DENY value, so it cannot be displayed in any iframe.

• SAMEORIGIN: Chỉ cho phép trang web của bạn được nhúng vào khung từ cùng một nguồn (origin) với trang web của bạn.
  • Khi sử dụng SAMEORIGIN, trang web của bạn chỉ được nhúng vào khung từ cùng một nguồn (origin) với trang web của bạn.
  • Điều này có nghĩa là trang web của bạn có thể được hiển thị trong một iframe chỉ khi nó được nhúng từ cùng một tên miền hoặc địa chỉ IP.

    


    
SameOrigin X-Frame-Options Demo
    
This page uses X-Frame-Options with SAMEORIGIN value, so it can only be displayed in an iframe from the same origin.

• ALLOW-FROM uri: Chỉ cho phép trang web của bạn được nhúng vào từ một nguồn cụ thể (được xác định bởi uri).

    


    
CSP Frame Ancestors Demo
    
This page uses Content Security Policy (CSP) with frame-ancestors to allow embedding from 'self', 'https://example.com', and 'https://subdomain.example.com'.

CSRF (Cross-Site Request Forgery)

Cross-Site Scripting (XSS)

• htmlspecialchars():  Khi hiển thị dữ liệu nhập từ người dùng hoặc dữ liệu từ nguồn không tin cậy, hãy sử dụng hàm htmlspecialchars() để mã hóa các ký tự đặc biệt thành các thực thể HTML. Điều này ngăn chặn các đoạn mã độc được thực thi như văn bản thông thường.
• strip_tags(): Hạn chế việc sử dụng HTML trong dữ liệu nhập của người dùng bằng cách sử dụng hàm strip_tags(). Điều này giúp loại bỏ hoặc ngăn chặn các thẻ HTML không an toàn từ dữ liệu.

Content Security Policy (CSP):

Thiết lập chính sách bảo mật Content Security Policy (CSP) để hạn chế nguồn và loại tài nguyên được trình duyệt phép tải xuống và hạn chế việc sử dụng iframe.

Ví dụ sử dụng CSP trong PHP: