မြန်မာဘာသာ
မြန်မာဘာသာ
Clickjacking သည်တိုက်ခိုက်သူမှထိန်းချုပ်ထားသောဝက်ဘ်စာမျက်နှာပေါ်တွင်အချို့သောအကြောင်းအရာများကိုမကြည့်ရှုနိုင်သော IFRAs များသို့ 0 က်ဘ်စာမျက်နှာများထည့်သွင်းခြင်းဖြင့်အချို့သောအကြောင်းအရာများကိုမရည်ရွယ်ဘဲနှိပ်လိုက်သည့်အချို့သောအကြောင်းအရာများကိုကလစ်နှိပ်လိုက်သည်။ ဤတိုက်ခိုက်မှုကိုတားဆီးရန်ကျွန်ုပ်တို့သည် HTTP Header Information မှတစ်ဆင့် IFRAME သို့အသိုက်ထဲမှဖယ်ရှားပစ်ခြင်းကိုတားဆီးနိုင်သည်။
PHP တွင်ကျွန်ုပ်တို့သည် header () function ကိုသုံးနိုင်သည်။
Clickjacking Attack ၏နိယာမသည်အသုံးပြုသူများကိုသူတို့မမြင်နိုင်သော interface element များကို နှိပ်. မရပါ။ သုံးစွဲသူများအားသူတို့၏ဗဟုသုတမရှိဘဲလုပ်ဆောင်မှုများပြုလုပ်ရန်ခွင့်ပြုသည်။ များသောအားဖြင့်တိုက်ခိုက်သူသည်ပစ်မှတ် 0 က်ဘ်ဆိုဒ်၏စာမျက်နှာစာမျက်နှာတွင် Target ဝက်ဘ်ဆိုက်၏စာမျက်နှာကိုသူ၏ကိုယ်ပိုင်ဝဘ်စာမျက်နှာတွင်အသိုက်ကို အသုံးပြု. Transparency သို့မဟုတ်အခြားနည်းလမ်းများမှတဆင့်စာမျက်နှာကိုဖုံးအုပ်ရန်အသုံးပြုလိမ့်မည်။
အကယ်. IFRASE သို့အသိုက်သို့အသိုက်အ 0 တ်လွှာမှကာကွယ်ရန်အကောင်းဆုံးနည်းလမ်းမှာ X-frame-options response header ကိုအသုံးပြုရန်ဖြစ်သည်။ ဤခေါင်းစဉ်သည်လက်ရှိစာမျက်နှာကို IFRAME တွင်အသိုက်လုပ်ခွင့်ပြုသည်ဖြစ်စေဘရောက်ဇာကိုပြောပြသည်။ ဤနည်းလမ်းကိုအသုံးပြုခြင်းသည် clickjacking တိုက်ခိုက်မှုများကိုထိရောက်စွာတားဆီးနိုင်သည်။
PHP တွင် Http Response Headers ကို header () function မှတဆင့်ပေးပို့နိုင်သည်။ စာမျက်နှာကို IFRAME သို့အသိုက်သို့အသိုက်ထားရှိခြင်းမှကာကွယ်ရန်အောက်ပါကုဒ်ကိုသုံးနိုင်သည်။
<?php
// တည်ဆောက်သည် X-Frame-Options စာမျက်နှာများကိုအသိုက်အနေဖြင့်ကာကွယ်ခြင်းမှတားဆီးပါ iframe အလယ်ပိုင်း
header('X-Frame-Options: DENY');
// သို့မဟုတ်သင်သတ်မှတ်ထားသောဒိုမိန်းအမည်အောက်တွင်အသိုက်စာမျက်နှာများကိုသာခွင့်ပြုလိုပါက,အသုံးပြုနိုင်:
header('X-Frame-Options: ALLOW-FROM https://m66.net');
// စာမျက်နှာပေါ်ရှိအခြားအကြောင်းအရာများကိုဆက်လက်လုပ်ဆောင်ပါ
?>
ငြင်းဆိုခြင်း - မည်သည့်ဝဘ်စာမျက်နှာကိုမဆို IFRAME မှတစ်ဆင့်လက်ရှိစာမျက်နှာကိုတင်ရန်တားမြစ်ထားသည်။
allogaligin : တူညီသောအရင်းအမြစ်နှင့်အတူစာမျက်နှာများသာ (i.e. တူညီသော domain name) ကို IFRAME မှတစ်ဆင့် load လုပ်ရန်ခွင့်ပြုထားသည်။
Allow-from uri : သတ်မှတ်ထားသောဒိုမိန်းအမည်ကို IFRAME မှတစ်ဆင့်လက်ရှိစာမျက်နှာကိုဖွင့်ရန်ခွင့်ပြုသည်။ သတိပြုရန်မှာ Allow-from option ကို Firefox ကဲ့သို့သော browser အချို့တွင် က န့်သတ်ထားသည်ကိုသတိပြုပါ ။
ဤနေရာတွင်အခြားဆိုဒ်များကို IFRAME သို့ 0 င်ရောက်ရန် PHP စာမျက်နှာတွင် X-Frame-Options header ကို PHP စာမျက်နှာတွင်မည်သို့သတ်မှတ်မည်ဟူသောလက်တွေ့ကျတဲ့ဥပမာတစ်ခုကဒီမှာ -
<?php
// တားဆီး Clickjacking တိုက်ခိုက်ခြင်း
header('X-Frame-Options: DENY');
// တည်ဆောက်သည်其他 HTTP တုံ့ပြန်မှုခေါင်း
header('Content-Type: text/html; charset=UTF-8');
// စာမျက်နှာအကြောင်းအရာ
echo "<h1>ဒါကလုံခြုံတဲ့စာမျက်နှာပါ</h1>";
echo "<p>ဤစာမျက်နှာကိုအသိုက်မရှိနိုင်ပါ iframe အလယ်ပိုင်း。</p>";
?>
X-Frame-options များသည် clickjacking တိုက်ခိုက်မှုများကိုကာကွယ်ရန်ထိရောက်သောနည်းလမ်းတစ်ခုဖြစ်သည်။ ၎င်းသည်တစ်ခုတည်းသောကာကွယ်ရေးမဟုတ်ပါ။ Protection ကိုပိုမိုအားကောင်းလာစေရန်အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP) ကိုလည်းသင်အသုံးပြုနိုင်သည်။ ဥပမာအားဖြင့် CSP Header ကိုသတ်မှတ်ခြင်းသည် IFRAME တွင်အသိုက်အသတ်ဖြင့်တားမြစ်ခြင်းမှတားမြစ်ခြင်းဖြင့်ဖြစ်သည်။
<?php
// အသုံးပြု CSP အသိုက်တားမြစ်
header("Content-Security-Policy: frame-ancestors 'none';");
// စာမျက်နှာအကြောင်းအရာ
echo "<h1>ဒါကလုံခြုံတဲ့စာမျက်နှာပါ</h1>";
?>
ဘ 0 ဘ 0 ဘ 0 ဘ 0 ဘ 0 တခုကို 'None' ကိုသတ်မှတ်ခြင်းအားဖြင့်သင် X-frame-options များထက် ပိုမိုပြောင်းလွယ်ပြင်လွယ်သောမည်သည့် IFRAME တွင်မဆိုအသိုက်အနေဖြင့်လုံးဝ disable လုပ်နိုင်သည်။
၎င်းသည်သင်၏စာမျက်နှာကို IFRAME တွင်အသိုက်အနေဖြင့်အသိုက်အ 0 တ်လွှာမှကာကွယ်နိုင်ပြီး Clickjacking တိုက်ခိုက်မှုများကိုရှောင်ရှားနိုင်သည်။ သင်၏လိုအပ်ချက်များပေါ် မူတည်. ကာကွယ်ရန်အတွက် X-Frame-options (သို့) အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP) ကိုအသုံးပြုရန်ရွေးချယ်နိုင်သည်။
