Estaba mirando una conferencia sobre clickjacking y cuando intenté crear un iframe para ir al sitio web, noté que los sitios web sin https son vulnerables al clickjacking. ¿Hay otra manera de detener el clickjacking sin SSL o necesitas usar otra cosa?
Hay un encabezado HTTP anti ClickJacking que puedes agregar a tus respuestas.
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
Denegar detendrá la carga de contenido en un marco, iframe u objeto, Same Origin permitirá cargar en páginas en el mismo dominio, 'Permitir desde' le permite especificar URI que pueden enmarcar su contenido.
El navegador implementa soporte para esto, por lo que existe una dependencia de que el usuario utilice un navegador que cumpla con el encabezado, aunque los principales navegadores lo han soportado por un tiempo; el soporte está en su lugar para IE11, Edge14 y Chrome 49.
Debe configurar su servidor web para agregar este encabezado HTTP a las respuestas
También puede usar ancestros de marcos si está usando una Política de seguridad de contenido.
Un sitio web evita el clickjacking al evitar que orígenes no confiables incrusten el sitio en un marco.
La forma establecida y confiable de lograr esto es enviar un % encabezado X-Frame-Options . Si no tiene intención de tener su página incrustada en un marco de cualquier origen, puede establecerla en DENY :
X-Frame-Options: DENY
Otras opciones son SAMEORIGIN para el acceso desde el mismo dominio y ALLOW-FROM para especificar permitido dominios.
La forma más moderna (pero no tan ampliamente soportada) de evitar el clickjacking es enviando un encabezado CSP con frame-ancestors . Establecerlo en none tiene aproximadamente el mismo efecto que X-Frame-Options: DENY :
Content-Security-Policy: frame-ancestors 'none';
Puede encontrar todas las técnicas comunes contra el clckjacking en Hoja de trucos de defensa de clickjacking de OWASP.
Lea otras preguntas en las etiquetas penetration-test websites clickjacking