Apacheクリックジャッキング防止でハマる

FreeBSD 12.2-RELEASE、Apache/2.4.46、MariaDB 10.5.8、PHP 7.4.13の環境で「joomla」CMSを構築した。
しかし、iframeでの画像表示が拒否される(-_-;)
画像アップロードはできるものの、その画像そのものが表示拒否。

WAF(ModSecurity)が原因なのか?
ルールセットファイル(crs-setup.conf)をSecRuleEngine DetectionOnly 検知のみに変更したり。


ダメだ解らない・・。
初心に戻って、Apacheの設定ファイル(httpd.conf)最初から見直そう。

Header always append X-Frame-Options DENY

わぁ!全面的に拒否ってるではないですか(-_-;)

いったい、私は何を考えて設定しているのやら・・・。

DENY→SAMEORIGINに修正。

service apache24 restart

同一ドメイン内のみ許可したらすんなり表示できました(汗
「X-Frame-Options」なかなかやるね。

ここらへん、普通にすぐ気付くでしょ。
ピン!とこないあたり、老化なのかしら?!ぁ。。。

コメント