HTTP-за­го­ло­вок X-Frame-Options ис­поль­зу­ет­ся для управ­ле­ния по­ве­де­ни­ем веб-при­ло­же­ния при его за­груз­ке че­рез <frame>, <iframe>, <embed> или <object>. Веб-при­ло­же­ния мо­гут ис­поль­зо­вать его, что­бы из­бе­жать атак с ис­поль­зо­ва­ни­ем клик­д­же­кин­га. Прин­цип та­кой ата­ки: ата­ку­е­мое веб-при­ло­же­ние за­гру­жа­ет­ся во фрейм, и по­верх ви­ди­мой стра­ни­цы раз­ме­ща­ет­ся неви­ди­мый слой, в ко­то­рый за­гру­жа­ет­ся нуж­ная зло­умыш­лен­ни­ку стра­ни­ца, при этом эле­мент управ­ле­ния (кноп­ка или ссыл­ка), необ­хо­ди­мый для осу­ществ­ле­ния тре­бу­е­мо­го дей­ствия, сов­ме­ща­ет­ся с ви­ди­мой ссыл­кой или кноп­кой, на­жа­тие на ко­то­рую ожи­да­ет­ся от поль­зо­ва­те­ля.

PT AF мо­жет предот­вра­щать ата­ки, ис­поль­зу­ю­щие клик­д­же­кинг. Для предот­вра­ще­ния атак пред­на­зна­че­но пра­ви­ло За­го­ло­вок X-Frame-Options, ко­то­рое поз­во­ля­ет пе­ре­опре­де­лять в от­ве­те за­го­ло­вок X-Frame-Options.

Что­бы за­щи­тить веб-при­ло­же­ние от клик­д­же­кин­га:От­крой­те кар­точ­ку пра­ви­ла За­го­ло­вок X-Frame-Options.На­жми­те .От­кро­ет­ся спи­сок па­ра­мет­ров пра­ви­ла.Если ре­жим Не по­ка­зы­вать стра­ни­цу во фрей­ме (DENY), вы­бран­ный по умол­ча­нию, необ­хо­ди­мо из­ме­нить, в стро­ке Ре­жим на­жми­те и вы­бе­ри­те дру­гой ре­жим, за­тем на­жми­те кноп­ку Со­хра­нить из­ме­не­ния.Если за­го­ло­вок X-Frame-Options в от­ве­те за­щи­ща­е­мо­го сер­ве­ра не тре­бу­ет­ся пе­ре­за­пи­сы­вать, в стро­ке За­ме­нить су­ще­ству­ю­щий за­го­ло­вок на­жми­те и от­клю­чи­те функ­цию пе­ре­за­пи­си, за­тем на­жми­те кноп­ку Со­хра­нить из­ме­не­ния.За­щи­та веб-при­ло­же­ния, за­гру­жа­е­мо­го че­рез фрейм, на­стро­е­на.