Mitigasi Clickjacking Dengan CSP
Mungkin kalian lebih suka menggunakan deny iframe daripada CSP dan memang itu lebih baik. Tapi tidak ada salahnya kalian menggunakan CSP.
Disediakan Sebuah laman web tanpa proteksi apapun. Ketika dites menggunakan clickjacking tester didapatkan web tersebut vuln clickjacking
Penggunaan csp untuk mitigasi clickjacking dengan cara menambahkan header seperti dibawah
header("Content-Security-Policy: frame-ancestors 'none'");Preview
Kita bisa melakukan cek dengan melihat header pada laman tersebut menggunkan tools network
Jika tampilan header muncul seperti gambar diatas maka CSP Sudah terpasang. Kalian juga bisa melakukan retest jika ragu dengan hasilnya
Ketika di Iframe akan menunjukkan lama kosong. beberapa kasus juga menampilkan laman CSP.
Mitigasi XSS Dengan CSP
hampir sama dengan yang tadi mitigasi xss juga dapat dilakukan via header hal ini bukan cara terbaik melakukan pengaman terhadap xss tapi harus dilakukan sebagai pengamana ke dua
Contoh celah paling umum xss adalah ketika penggunaan html atau javascript bisa di injeksikan ke dalam website.
Hal ini nantinya akan membuat website menampilkan pop up berisi alert atau hal hal lainnya yang dapat membahayakan user.
Untuk itu kita gunakan header CSP pada penggunaan seperti dibawah untuk mencegah adanya popup
header("Content-Security-Policy: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG-HiZ1guq6ZZDob_Tng='");
Saya sendiri kurang tau bagaimana cara kerja header diatas tapi yang jelas ini bisa mencegah xss walaupun kode html telah diinjeksi
Preview
Jika kalian ingin menerapkan header ini ke semua laman kalian bisa menggunakan .htaccess dengan add header (nginx) atau header set (apache). Mungkin itu aja jangan lupa main ke fanspage kami buat dapetin info info bypass csp