Mencegah Situs Statis Firebase dari Clickjacking
Firebase Config
posted to Web on 13 April 2017
Ketika sedang jalan-jalan di situs Om Ali saya membaca artikel menarik tentang clickjacking, dimana ternyata kasus tersebut juga menimpa sobat kita dari Kabar Linux. Dengan rasa penasaran saya mencoba beberapa situs teman melalui alat ini, dan alangkah terkedjoetnya saya ketika melihat hasil berikut
Blog Pak Haji Mimin
Blog Om Sucipto
Blog Bang Rezha
Blog Seorang Intel
Berdasarkan hasil diatas, blog teman-teman saya malah pada kena clickjacking. Untuk mencegah hal ini terjadi pada linhub, saya menambahkan beberapa konfigurasi tambahan pada berkas firebase.json
sebagai berikut
{
"hosting": {
"public": "_site",
"ignore": [],
"rewrites": [],
"headers": [ {{
"source" : "**",
"headers" : [ {
"key" : "X-Frame-Options",
"value" : "SAMEORIGIN"
} ]
}, {
"source" : "**",
"headers" : [ {
"key" : "X-Content-Type-Options",
"value" : "nosniff"
} ]
}, {
"source" : "**",
"headers" : [ {
"key" : "X-XSS-Protection",
"value" : "1"
} ]
} ]
}
}
Dengan begitu akan melindungi situs yang di hosting pada Firebase akan terlindungi dari serangan clickjacking, xss, dan juga mime sniffing. Buat teman-teman yang situsnya masih bisa kena clickjacking mungkin bisa segera anuin biar anu …