Framesniffing atenuante con el encabezado X-opciones de marco

Id. de art�culo: 2694329 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

Resumen

Framesniffing es una t�cnica de ataque que aprovecha las ventajas de la funcionalidad del explorador para robar datos de un sitio Web. Las aplicaciones Web que permiten su contenido para alojarse en un IFRAME de dominios pueden ser vulnerables a este ataque.

Los administradores pueden mitigar framesniffing mediante la configuraci�n de IIS para enviar un encabezado de respuesta HTTP impide que el contenido alojado en un IFRAME de dominios.

M�s informaci�n

El Encabezado X-opciones de marco

(http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx)

puede utilizarse para controlar si una p�gina se puede colocar en un IFRAME. La t�cnica de Framesniffing se basa en la posibilidad de colocar el sitio de la v�ctima en un IFRAME, y una aplicaci�n web puede protegerse mediante el env�o de un encabezado X-opciones de marco adecuado.

Para configurar IIS para agregar un encabezado de opciones de marco de x a todas las respuestas para un sitio determinado, siga estos pasos:

Abra Administrador de Internet Information Services (IIS).
En el panel de conexiones en el lado izquierdo, expanda la carpeta sitios y seleccione el sitio que desea proteger.
Haga doble clic en el icono de Encabezados de respuesta HTTP en la lista de funciones en el medio.
En el panel de acciones en el lado derecho, haga clic en Agregar.
En el cuadro de di�logo que aparece, escriba Opciones de marco de x en el campo de nombre y tipo SAMEORIGIN en el campo valor .
Haga clic en Aceptar para guardar los cambios.

Si tiene otros sitios que necesitan esta configuraci�n, repita los pasos 2 a 6 tambi�n para esos sitios.

Este cambio evitar� que las p�ginas HTML de otros dominios que aloja su sitio en un IFRAME. Por ejemplo, si el departamento de TI de Contoso aplica este cambio a http://contoso.com, las p�ginas en http://fabrikam.com ya no ser� capaces de mostrar el contenido de http://contoso.com en un IFRAME.

Puede modificar el valor del encabezado X-opciones de marco para permitir http://fabrikam.com enmarcar http://contoso.com mientras bloquea todos los dem�s dominios. Para ello, cambie el valor de la cabecera de opciones de marco de x en el paso 5 para Permitir desde http://fabrikam.com.

Para obtener m�s informaci�n acerca de la cabecera de opciones de marco de X, consulteEsta entrada de blog MSDN

(http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx)

.

Para revertir el cambio, siga estos pasos:

Abra Administrador de Internet Information Services (IIS).
En el panel de conexiones en el lado izquierdo, expanda la carpeta sitios y seleccione el sitio donde se realiz� este cambio.
En la lista de funciones en la parte central, haga doble clic en el icono de Encabezados de respuesta HTTP .
En la lista de encabezados que aparece, seleccione Opciones de marco de X.
En el panel de acciones en el lado derecho, haga clic en Quitar .

Propiedades

Id. de art�culo: 2694329 - �ltima revisi�n: s�bado, 24 de marzo de 2012 - Versi�n: 1.0

La informaci�n de este art�culo se refiere a:

Microsoft Office SharePoint Server 2007
Microsoft SharePoint Foundation 2010
Microsoft SharePoint Server 2010
Microsoft Windows SharePoint Services 3.0

kbmt KB2694329 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 2694329

(http://support.microsoft.com/kb/2694329/en-us/ )