Framesniffing atenuante con el encabezado X-opciones de marco

Seleccione idioma Seleccione idioma
Id. de artículo: 2694329 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Framesniffing es una técnica de ataque que aprovecha las ventajas de la funcionalidad del explorador para robar datos de un sitio Web. Las aplicaciones Web que permiten su contenido para alojarse en un IFRAME de dominios pueden ser vulnerables a este ataque.

Los administradores pueden mitigar framesniffing mediante la configuración de IIS para enviar un encabezado de respuesta HTTP impide que el contenido alojado en un IFRAME de dominios.

Más información

El Encabezado X-opciones de marcopuede utilizarse para controlar si una página se puede colocar en un IFRAME. La técnica de Framesniffing se basa en la posibilidad de colocar el sitio de la víctima en un IFRAME, y una aplicación web puede protegerse mediante el envío de un encabezado X-opciones de marco adecuado.

Para configurar IIS para agregar un encabezado de opciones de marco de x a todas las respuestas para un sitio determinado, siga estos pasos:
  1. Abra Administrador de Internet Information Services (IIS).
  2. En el panel de conexiones en el lado izquierdo, expanda la carpeta sitios y seleccione el sitio que desea proteger.
  3. Haga doble clic en el icono de Encabezados de respuesta HTTP en la lista de funciones en el medio.
  4. En el panel de acciones en el lado derecho, haga clic en Agregar.
  5. En el cuadro de diálogo que aparece, escriba Opciones de marco de x en el campo de nombre y tipo SAMEORIGIN en el campo valor .
  6. Haga clic en Aceptar para guardar los cambios.

Si tiene otros sitios que necesitan esta configuración, repita los pasos 2 a 6 también para esos sitios.

Este cambio evitará que las páginas HTML de otros dominios que aloja su sitio en un IFRAME. Por ejemplo, si el departamento de TI de Contoso aplica este cambio a http://contoso.com, las páginas en http://fabrikam.com ya no será capaces de mostrar el contenido de http://contoso.com en un IFRAME.

Puede modificar el valor del encabezado X-opciones de marco para permitir http://fabrikam.com enmarcar http://contoso.com mientras bloquea todos los demás dominios. Para ello, cambie el valor de la cabecera de opciones de marco de x en el paso 5 para Permitir desde http://fabrikam.com.

Para obtener más información acerca de la cabecera de opciones de marco de X, consulteEsta entrada de blog MSDN.

Para revertir el cambio, siga estos pasos:
  1. Abra Administrador de Internet Information Services (IIS).
  2. En el panel de conexiones en el lado izquierdo, expanda la carpeta sitios y seleccione el sitio donde se realizó este cambio.
  3. En la lista de funciones en la parte central, haga doble clic en el icono de Encabezados de respuesta HTTP .
  4. En la lista de encabezados que aparece, seleccione Opciones de marco de X.
  5. En el panel de acciones en el lado derecho, haga clic en Quitar .




Propiedades

Id. de artículo: 2694329 - Última revisión: sábado, 24 de marzo de 2012 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Office SharePoint Server 2007
  • Microsoft SharePoint Foundation 2010
  • Microsoft SharePoint Server 2010
  • Microsoft Windows SharePoint Services 3.0
Palabras clave: 
kbmt KB2694329 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2694329

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com