워드프레스에서 클릭재킹(진짜와 유사한 사이트를 만들어놓고 아이디, 비번 등 입력을 유도하거나 클릭을 유도하는 악성기법)을 막기 위해서 다른 서비스(홈페이지, 사이트, 블로그 등등)의 iframe에 내 블로그가 들어가지 못하게 하는 것은 필수입니다. 어떻게 막을 수 있을까요? HTTP의 X-Frame-Options 속성을 이용해서 막을 수 있습니다. (이 방법은 브라우저가 X-Frame-Options 속성을 지원할 때만 가능한 방법입니다. )
![[워드프레스 보안] iframe 막는 법](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDj8f54m29S-RINmSRSE9blRVd8uPLUkDNgiaHZvkZvk-ZjSX5oPdQoJ1p2OkWxTlLlOD6oY8zpXiB_hmB3K0hqdF7Reae_HZDPCltxOwqepYINiU30W3Qqx6Eb-iitua6bNRGBjNYan4nOOMuP_LDVFd0lZ0PJsdepT9Z4PJJ3a0mVTCxsNV8H7OVOK98/s324/iframe-x-frame-options.jpg "[워드프레스 보안] iframe 막는 법") |
| [워드프레스 보안] iframe 막는 법 |
HTTP의 X-Frame-Options 속성
아래의 3가지 옵션이 있는데 allow-from 속성은 브라우저별로 지원이 안 되는 것이 많기 때문에 사용하지 않는 것을 권장합니다. 우선 첫 번째 deny 옵션은 전부 막는 것이고. 두 번째 sameorigin은 예를 들어서 내 블로그가 a.com 이면 a.com 내에서는 iframe안에 내 a.com을 넣을 수 있게 하는 것입니다
X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/ 사용 권장안함
HTTP의 X-Frame-Options 속성 적용방법
우선. 카페24를 기준으로 설명하겠습니다. 카페24에서는 아파치 서버 설정 파일에 접근을 못하기때문에 .htaccess 파일에 아래 소스를 추가해줍니다.
# 모든 iframe 막기
header set x-frame-options DENY
#아래는 내 도메인에는 허용
header set x-frame-options SAMEORIGIN
브라우저 호환성
X-Frame-Options: deny 대부분의 브라우저에서 지원
X-Frame-Options: sameorigin 안 되는 브라우저 확인 요망
X-Frame-Options: allow-from https://example.com/ 사용 권장 안 함
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options#browser_compatibility
메타태그를 통한 방법
일단 아래 소스는 카페24의 헤더에 추가해봤지만, 효과가 없었습니다.
<meta http-equiv="X-Frame-Options" content="deny">
레퍼런스
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
https://cgscomputer.com/block-iframes-how-to-stop-your-website-from-being-iframed/