Я сделал приложение, которое недавно прошло тест на проникновение. Мне необходимо установить параметры X-Frame в приложении на SAMEORIGIN. Это необходимо для предотвращения кликджекинга. Я считаю, что это возможно в файле App.yaml, но я не уверен, как реализовать что-то подобное. Я просмотрел документы и до сих пор не могу понять, как запретить, только разрешить.
handlers:
- url: /.*
script: public/index.php
http_headers:
X-Frame-Options SAMEORIGIN
Я нашел решение этой проблемы с помощью промежуточного программного обеспечения в Laravel 5.1.
Промежуточное ПО называется FrameGuard и хранится по адресу:
Осветить\Http\Middleware\FrameGuard
Чтобы включить это, добавьте следующую строку в защищенный массив промежуточного программного обеспечения.
'Illuminate\Http\Middleware\FrameGuard',
Это устанавливает для параметра заголовка кадра значение SAMEORIGIN, которое при необходимости можно изменить.
Это предотвращает уязвимость Clickjacking в приложении Laravel.
Для всех, кто натыкается на это, причина, по которой http_headers не работает, заключается в том, что его можно применять только к обработчикам статических файлов, как упомянутый в документе:
По желанию. Вы можете установить заголовки HTTP для ответов обработчиков ваших статических файлов или каталогов. Если вам нужно установить заголовки HTTP в обработчиках скриптов, сделайте это в коде своего приложения.
