ผมเจอปัญหาเรื่อง Clickjacking ก็เลยมา Blog ไว้สักหน่อย เพราะเป็นปัญหาซ้ำซ้อนซึ่งบางครั้งหลงลืม ผมใช้ Nginx เป็น reverse proxy ก็ตั้งค่า X-Frame-Options ให้ DENY ดูเหมือนว่าจะไม่มีปัญหาอะไร แต่พอตรวจสอบก็ยังเจอปัญหา ClickJacking Attacks อยู่เพราะ Express ยังไม่ได้แก้ เอ้อ…ใครจะไปคิดว่า developer ลืมเรื่องนี้ไป ก็เลยต้องมา patch โค้ดเอาเอง

Node.js มี module สารพัดประโยชน์อยู่ตัวนึงชื่อ Helmet เอาไว้ดัก Header โดยเฉพาะ วิธีการใช้ก็ง่ายมาก สั่ง download module มาก่อนเลย

npm helmet --save

จากนั้นแก้โค้ดเลยครับ เพิ่ม helmet ต่อท้าย express ได้เลย

สำหรับการตั้งค่าใน Web Server อื่นๆ ดูได้จากลิงค์นี้ครับ