防止点击劫持

点击劫持(也称为 "UI 覆盖攻击”)是一项恶意攻击技术,目的在于误导用户点击实际上不同于他们以为要点击的页面。

当 Plesk 在其它(恶意)源上的框架(网页的不同区域)内打开时,Plesk 用户可能会受此类攻击影响。

若要保护 Plesk 免受点击劫持,可以使用 sameOriginOnly 设置(该设置位于panel.ini 文件中)。该设置能够阻止Plesk 页面在其它域名的框架内打开:

若要阻止Plesk 页面在其它域名的框架内打开,请如下操作:

  1. 打开位于以下目录的配置文件 panel.ini 进行编辑:
    • 在 Linux 上:/usr/local/psa/admin/conf
    • 在 Windows 上:%plesk_dir%\admin\conf\

    如果该文件不存在,请创建该文件:

  2. 添加下列各行到文件:

    [security]

    sameOriginOnly = true

注意:默认该设置是关闭的(false 值)因为它可能会破坏 Plesk 与某些系统的整合,Plesk 需在这些系统的框架内打开。

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.