क्लिकजैकिंग, जिसे यूआई रिड्रेसिंग के रूप में भी जाना जाता है, एक प्रकार का हमला है जहां दुर्भावनापूर्ण अभिनेता आईफ्रेम के भीतर वेब पेजों को एम्बेड करके उपयोगकर्ताओं को उनकी धारणा से अलग किसी चीज़ पर क्लिक करने के लिए प्रेरित करते हैं। इससे अनधिकृत कार्रवाइयां हो सकती हैं और उपयोगकर्ता सुरक्षा से समझौता हो सकता है। इस ब्लॉग में, हम उपयोगकर्ता-अनुकूल उदाहरणों के साथ अपाचे और नेग्नेक्स के लिए जावास्क्रिप्ट और सर्वर कॉन्फ़िगरेशन का उपयोग करके क्लिकजैकिंग हमलों को कैसे रोकें, इसका पता लगाएंगे।

क्लिकजैकिंग को समझना

क्लिकजैकिंग में एक वैध वेबपेज तत्व पर एक पारदर्शी या अपारदर्शी आईफ्रेम रखना शामिल है, जिससे उपयोगकर्ता अनजाने में सेटिंग्स बदलने या फंड ट्रांसफर करने जैसे कार्य कर सकते हैं।

वास्तविक दुनिया का उदाहरण

ऐसे परिदृश्य पर विचार करें जहां एक हमलावर एक बैंकिंग साइट से एक छिपे हुए आईफ्रेम को एक विश्वसनीय वेबपेज में एम्बेड करता है। जब कोई उपयोगकर्ता प्रतीत होता है कि हानिरहित बटन पर क्लिक करता है, तो वे वास्तव में बैंक लेनदेन को अधिकृत कर सकते हैं।

यहां एक असुरक्षित पृष्ठ का उदाहरण दिया गया है:

    
Welcome to Our Site
    Click Me
    

जावास्क्रिप्ट के साथ क्लिकजैकिंग को रोकना

क्लिकजैकिंग हमलों को रोकने के लिए, आप यह सुनिश्चित करने के लिए जावास्क्रिप्ट का उपयोग कर सकते हैं कि आपकी वेबसाइट को फ़्रेम नहीं किया जा रहा है। इस सुरक्षा को कैसे लागू किया जाए, इस पर चरण-दर-चरण मार्गदर्शिका यहां दी गई है:

1. जावास्क्रिप्ट फ़्रेम बस्टिंग
फ़्रेम बस्टिंग में यह पता लगाने के लिए जावास्क्रिप्ट का उपयोग करना शामिल है कि क्या आपकी वेबसाइट एक आईफ्रेम के अंदर लोड है और उससे बाहर निकल रही है।

उदाहरण:

    
Secure Site
    
This site is protected from clickjacking attacks.

इस उदाहरण में, जावास्क्रिप्ट जांच करता है कि क्या वर्तमान विंडो (विंडो.स्वयं) सबसे ऊपरी विंडो (विंडो.टॉप) नहीं है। यदि ऐसा नहीं है, तो यह सबसे ऊपरी विंडो को मौजूदा विंडो के यूआरएल पर रीडायरेक्ट करता है, प्रभावी रूप से आईफ्रेम से बाहर निकल जाता है।

2. इवेंट श्रोताओं के साथ उन्नत फ़्रेम बस्टिंग
आप लगातार यह जांचने के लिए कि आपका पेज फ़्रेम किया गया है, इवेंट श्रोताओं का उपयोग करके अपनी फ़्रेम बस्टिंग तकनीक को और बेहतर बना सकते हैं।

उदाहरण:

    
Secure Site
    
This site is protected from clickjacking attacks.

इस उदाहरण में, निरंतर सुरक्षा सुनिश्चित करने के लिए DOMContentLoaded, लोड और आकार बदलने वाले ईवेंट पर प्रिवेंटक्लिकजैकिंग फ़ंक्शन को कॉल किया जाता है।

सर्वर-साइड सुरक्षा

हालांकि जावास्क्रिप्ट विधियां उपयोगी हैं, सर्वर-साइड सुरक्षा लागू करने से सुरक्षा की एक अतिरिक्त परत मिलती है। क्लिकजैकिंग को रोकने के लिए Apache और Nginx में HTTP हेडर कैसे सेट करें:

1. एक्स-फ़्रेम-विकल्प शीर्षलेख
एक्स-फ़्रेम-ऑप्शंस हेडर आपको यह निर्दिष्ट करने की अनुमति देता है कि क्या आपकी साइट को आईफ्रेम में एम्बेड किया जा सकता है। तीन विकल्प हैं:

अस्वीकार करें: किसी भी डोमेन को आपके पृष्ठ को एम्बेड करने से रोकता है।
SAMEORIGIN: केवल एक ही मूल से एम्बेडिंग की अनुमति देता है।
अनुमति-यूआरआई से: निर्दिष्ट यूआरआई से एम्बेडिंग की अनुमति देता है।
उदाहरण:

X-Frame-Options: DENY

अपाचे कॉन्फ़िगरेशन
इस हेडर को अपने सर्वर कॉन्फ़िगरेशन में जोड़ें:

# Apache
Header always set X-Frame-Options "DENY"

Nginx कॉन्फ़िगरेशन
इस हेडर को अपने सर्वर कॉन्फ़िगरेशन में जोड़ें:

2. सामग्री-सुरक्षा-नीति (सीएसपी) फ़्रेम पूर्वज
सीएसपी फ्रेम-पूर्वजों के निर्देश के माध्यम से अधिक लचीला दृष्टिकोण प्रदान करता है, जो वैध माता-पिता को निर्दिष्ट करता है जो आईफ्रेम का उपयोग करके पृष्ठ को एम्बेड कर सकते हैं।

उदाहरण:

Content-Security-Policy: frame-ancestors 'self'

अपाचे कॉन्फ़िगरेशन
इस हेडर को अपने सर्वर कॉन्फ़िगरेशन में जोड़ें:

उदाहरण:

# Apache
Header always set Content-Security-Policy "frame-ancestors 'self'"

Nginx कॉन्फ़िगरेशन
इस हेडर को अपने सर्वर कॉन्फ़िगरेशन में जोड़ें:

# Nginx
add_header Content-Security-Policy "frame-ancestors 'self'";

निष्कर्ष

क्लिकजैकिंग वेब सुरक्षा के लिए एक गंभीर खतरा है, लेकिन जावास्क्रिप्ट फ्रेम बस्टिंग तकनीकों और एक्स-फ्रेम-ऑप्शंस और कंटेंट-सिक्योरिटी-पॉलिसी हेडर जैसी सर्वर-साइड सुरक्षा को लागू करके, आप अपने वेब एप्लिकेशन को प्रभावी ढंग से सुरक्षित कर सकते हैं। अपनी साइट की सुरक्षा बढ़ाने और अपने उपयोगकर्ताओं को सुरक्षित अनुभव प्रदान करने के लिए दिए गए उदाहरणों का उपयोग करें।