Cara Mengkonfigurasi X-Frame-Options di Apache

X-Frame-Options adalah salah satu opsi yang disediakan untuk ditampilkan pada HTTP Response Header. Dengan mengatur opsi x-frame ini, website kita TIDAK BISA di embed di website lain, alias tidak bisa di masukkan dalam iframe website lain. Dengan opsi ini, sebenarnya secara tidak langsung website kita akan aman dari aksi CLICKJACKING.

Secara teori, X-Frame-Options ini memiliki tiga opsi:
– ‘SAMEORIGIN‘, mengijinkan web di embed/ di iframe di web dengan domain yang sama.
– ‘ALLOW-FROM-URI‘, mengijinkan web di embed/di iframe dari halaman web lain yang diklik dari link website kita
– ‘DENY

untuk mengatur X-Frame-Options ini, silakan buka file conf:

#debian
/etc/apache2/conf-enabled/security.conf

#redhat/centos
/etc/httpd/conf/httpd.conf

dan tambahkan entri-entri sebagai berikut:

Allow for Same Origin (Default Action)

Header set X-Frame-Options: "SAMEORIGIN"

Allow from specific origin


Header set X-Frame-Options: "ALLOW-FROM http://example.com/"
Header set X-Frame-Options: "ALLOW-FROM http://www.example.com/"
Header set X-Frame-Options: "ALLOW-FROM https://example.com/"
Header set X-Frame-Options: "ALLOW-FROM https://www.example.com/"

Deny to everyone

Header set X-Frame-Options: "DENY"

Cara Kedua, selain mengedit file conf diatas, kita bisa menambahkan langsung di .htaccess

Header append X-Frame-Options: "SAMEORIGIN"

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: