我一直在尝试在我的网站上实现这一点,但一直未能找到正确的方法。我的 Apache/PHP 网站有一个/includes/包含一些基本 JavaScript 的文件夹。Qualys 报告这些易受“ClickJacking”攻击。根据 OWASP 的说明,我尝试使用X-FRAME-OPTIONS. 话虽如此,我去了该/includes/文件夹的 .htaccess 并添加了以下内容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
但是,这已经禁用了网站上的所有这些 javascript,所以我不得不恢复。有人可以帮我正确实施吗?提前致谢。