守护你的网站不被“偷梁换柱”

如何用Nginx防御点击劫持？

现代浏览器支持一种名为 X-Frame-Options 的HTTP响应头，它可以控制页面是否允许被嵌入到<frame>、<iframe>或<object>中。Nginx可以通过简单配置来添加这个安全头。

方法一：禁止所有网站嵌套你的页面

这是最常用的防护方式。只需在Nginx配置文件中添加一行代码：

add_header X-Frame-Options "SAMEORIGIN" always;

说明：

• SAMEORIGIN：只允许同源（即你自己的网站）嵌套该页面。
• always：确保即使在内部重定向后也始终发送该头。

方法二：完全禁止嵌套（更严格）

如果你确定你的网站永远不需要被任何iframe嵌套（包括自己），可以使用DENY：

add_header X-Frame-Options "DENY" always;

具体操作步骤

1. 打开你的Nginx配置文件（通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default）。
2. 找到你要保护的server块。
3. 在server块内添加上述add_header指令。
4. 保存文件并测试配置是否正确：

sudo nginx -t

如果显示“syntax is ok”，说明配置无误。

5. 重新加载Nginx使配置生效：

sudo systemctl reload nginx

验证是否生效

你可以使用浏览器开发者工具（F12）查看网络请求的响应头，确认是否包含：

X-Frame-Options: SAMEORIGIN

或者使用在线工具如 securityheaders.com 检测你的网站安全头配置。

进阶建议

虽然X-Frame-Options能有效防御点击劫持，但现代Web更推荐使用 Content-Security-Policy（CSP） 的 frame-ancestors 指令，它功能更强大且是未来标准。不过对于大多数场景，X-Frame-Options已足够。

记住，Web安全防护不是一劳永逸的事，定期检查和更新配置非常重要。通过本文介绍的Nginx点击劫持防护方法，你可以大大降低被攻击的风险。

赶快行动起来，为你的网站加上这道安全锁吧！