
Используйте X-Frame-Options и Content-Security-Policy с PHP
Большинство современных браузеров могут помочь защитить ваш сайт от вредоносных атак, если вы сообщите им об этом. Метод, который поддерживается почти повсеместно, заключается в установке параметров X-Frame. Если этот параметр установлен, браузер не позволяет другим сайтам отображать ваш собственный сайт в iframe. Это защищает от атак кликджекинга и должно использоваться на всех конфиденциальных страницах, таких как страница входа.
// Adds X-Frame-Options to HTTP header so that page can only be shown in an iframe of the same site.
header('X-Frame-Options: SAMEORIGIN'); // FF 3.6.9+ Chrome 4.1+ IE 8+ Safari 4+ Opera 10.5+
Пользователи, которые работают с текущим браузером, автоматически получают выгоду, когда веб-сайт отправляет политику безопасности контента (CSP) в заголовке. С помощью CSP вы можете определить, откуда принимается код JavaScript, на каких страницах разрешено отображать вашу страницу в iframe и многое другое. Если браузер поддерживает CSP, это может быть эффективной защитой от межсайтового скриптинга. "более…"
Реализация на PHP очень проста, но со встроенным JavaScript могут возникнуть проблемы. Вы получите наилучшую защиту, если избежите всего JavaScript в файлах HTML и вместо этого сохраните их в отдельных файлах *.js. В случае, если это невозможно (существующий исходный код), есть возможность разрешить встроенный скрипт.
// Adds the Content-Security-Policy to the HTTP header.
// JavaScript will be restricted to the same domain as the page itself.
header("Content-Security-Policy: default-src 'self'; script-src 'self';"); // FF 23+ Chrome 25+ Safari 7+ Opera 19+
header("X-Content-Security-Policy: default-src 'self'; script-src 'self';"); // IE 10+