我添加了
<meta http-equiv="X-Frame-Options" content="deny">
在header.tpl文件中,但它不起作用并抛出错误。
X-Frame-Options 只能通过随文档一起发送的 HTTP 标头进行设置。它可能不会设置在里面。
我还添加了
Header always append X-Frame-Options SAMEORIGIN
.htaccess文件中的行。但这也是行不通的。
那么我怎样才能防止我的网站上的点击劫持呢?
参考资料: 点击劫持防御备忘单 |OWASP 和 X-Frame-Options - HTTP
我建议您在PrestaShop根文件夹安装中编辑.htaccess,并且在"#~~start~~"标识的行之前不要删除..."添加以下块:
# Extra Security Headers
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' *.googleapis.com *.gstatic.com;"
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
</IfModule>
这将提供针对以下情况的保护: 点击劫持 - 内容嗅探 - XSS 攻击