Bloqueando el uso de iFrame

El clickjacking es la técnica mediante la cual un atacante puede enmascarar un sitio válido, llevando al visitante desprevenido a otro sitio para robar credenciales o descargar contenido malicioso, entre otras posibilidades.

Se utiliza un iframe para visualizar el sitio objetivo, con capas de transparencia por encima que al ser clickeadas, llevan a otro sitio malicioso.

Es altamente recomendable bloquear esa funcionalidad de los servidores HTTP para evitar males mayores.

Bloqueando iFrame en Apache

Debe estar activo el módulo mod_headers de Apache.

Si se utiliza un shared hosting, se puede agregar la siguiente línea en el .htaccess del sitio en cuestión:

header set x-frame-options DENY

Hay varias otras posibilidades en vez de DENY, dependiendo de lo que se necesite, por ejemplo: SAMEORIGIN, ALLOW-FROM

En este caso, no es necesario reiniciar el demonio Apache.

Si no es está en un hosting compartido, se puede agregar la línea de configuración de los headers en el httpd.conf:

header always set x-frame-options "SAMEORIGIN"

Hecho eso, se debe reiniciar Apache:

systemctl restart apache2

Bibliografía