Nota: Nos gustaría proporcionarle el contenido de ayuda actual lo más rápido posible en su idioma. Esta página se ha traducido mediante un sistema automático y es posible que contenga imprecisiones o errores gramaticales. Nuestro objetivo es que este contenido sea útil para usted. ¿Puede informarnos sobre si la información le ha sido útil al final de la página? Aquí tiene el artículo en inglés para que pueda consultarlo fácilmente.
Resumen
Framesniffing es una técnica de ataque que aprovecha la funcionalidad del explorador para robar datos de un sitio Web. Las aplicaciones web que permiten que su contenido se aloje en un IFRAME entre dominios pueden ser vulnerables a este ataque.
Los administradores pueden mitigar framesniffing configurando IIS para enviar un encabezado de respuesta HTTP que evite que el contenido se aloje en un IFRAME de dominios cruzados.
Más información
El encabezado de las opciones de fotograma X se puede usar para controlar si una página se puede colocar en un iframe. Dado que la técnica Framesniffing se basa en poder colocar el sitio de la víctima en un IFRAME, una aplicación web se puede proteger a sí mismo enviando un encabezado de opciones X-Frame adecuado.
Para configurar IIS de manera que agregue un encabezado X-Frame-Options a todas las respuestas de un sitio dado, siga estos pasos:
-
Abra el administrador de Internet Information Services (IIS).
-
En el panel conexiones del lado izquierdo, expanda la carpeta sitios y seleccione el sitio que desea proteger.
-
Haga doble clic en el icono de encabezados de respuesta HTTP en la lista de características del centro.
-
En el panel acciones del lado derecho, haga clic en Agregar.
-
En el cuadro de diálogo que aparece, escriba opciones de fotoGrama X en el campo Nombre y escriba SAMEORIGIN en el campo de valor.
-
Haga clic en Aceptar para guardar los cambios.
Si tiene otros sitios que necesitan esta configuración, repita los pasos 2 a 6 para esos sitios también.
Este cambio impedirá que las páginas HTML de otros dominios alojen su sitio en un IFRAME. Por ejemplo, si el Departamento de TI de Contoso aplica este cambio a http://contoso.com, las páginas de http://fabrikam.com ya no podrán mostrar contenido de http://contoso.com en un IFRAME.
Puedes modificar el valor del encabezado X-Frame-Options para que http://fabrikam.com Frame http://contoso.com mientras bloquea el resto de los dominios. Para ello, cambie el valor del encabezado X-Frame-Options en el paso 5 para ALLOW-FROM http://fabrikam.com.
Para obtener más información sobre el encabezado de opciones de fotoGrama X, vea esta publicación de blog de MSDN.
Para revertir el cambio, siga estos pasos:
-
Abra el administrador de Internet Information Services (IIS).
-
En el panel conexiones del lado izquierdo, expanda la carpeta sitios y seleccione el sitio en el que ha realizado este cambio.
-
En la lista de características del centro, haga doble clic en el icono de encabezados de respuesta HTTP.
-
En la lista de encabezados que aparece, seleccione Opciones de fotoGrama X.
-
Haga clic en quitar en el panel acciones de la parte derecha.
