Mengurangi framesniffing dengan X-Frame-pilihan header

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2694329 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

RINGKASAN

Framesniffing adalah teknik serangan yang mengambil keuntungan dari fungsi browser untuk mencuri data dari sebuah situs web. aplikasi web yang memungkinkan konten mereka untuk menjadi tuan rumah dalam IFRAME lintas domain mungkin rentan terhadap serangan ini.

Administrator dapat mengurangi framesniffing oleh konfigurasi IIS untuk mengirim respon HTTP header yang mencegah konten yang di-host dalam IFRAME lintas domain.

INFORMASI LEBIH LANJUT

The X-Frame-pilihan headerdapat digunakan untuk mengontrol apakah halaman dapat ditempatkan dalam IFRAME. Karena teknik Framesniffing bergantung pada mampu menempatkan korban situs dalam IFRAME, aplikasi web dapat melindungi dirinya sendiri dengan mengirimkan header X-Frame-pilihan yang tepat.

Untuk mengkonfigurasi IIS untuk menambah header X-Frame-pilihan untuk semua tanggapan untuk situs tertentu, ikuti langkah berikut:
  1. Buka Manajer Layanan (IIS) informasi Internet.
  2. Di panel koneksi di sisi kiri, memperluas situs folder dan pilih situs yang Anda ingin melindungi.
  3. Klik dua kali ikon respon HTTP header di daftar fitur di tengah.
  4. Di panel tindakan di sisi rata kanankan, klik Tambah.
  5. Di kotak dialog yang muncul, jenis X-Frame-pilihan di bidang nama dan jenis SAMEORIGIN dalam bidang nilai .
  6. Klik OK untuk menyimpan perubahan.

Jika Anda memiliki situs lainnya yang perlu konfigurasi ini, ulangi langkah 2 sampai 6 untuk situs-situs tersebut juga.

Perubahan ini akan mencegah halaman HTML di domain lainnya dari hosting situs Anda dalam IFRAME. Sebagai contoh, jika Departemen Contoso itu berlaku perubahan ini untuk http://contoso.com, halaman http://fabrikam.com tidak lagi akan mampu menampilkan konten dari http://contoso.com dalam IFRAME.

Anda dapat mengubah nilai header X-Frame-pilihan untuk membolehkan http://fabrikam.com untuk membingkai http://contoso.com sementara memblokir semua domain lainnya. Untuk melakukan ini, Ubah nilai header X-Frame-pilihan dalam langkah 5 untuk IZINKAN-dari http://fabrikam.com.

Untuk informasi lebih lanjut tentang X-Frame-pilihan header, lihatMSDN posting blog ini.

Untuk kembali perubahan, ikuti langkah berikut:
  1. Buka Manajer Layanan (IIS) informasi Internet.
  2. Di panel koneksi di sisi kiri, memperluas situs folder, dan pilih situs di mana Anda membuat perubahan ini.
  3. Dalam daftar fitur di tengah, klik dua kali ikon respon HTTP header .
  4. Dalam daftar header yang muncul, pilih X-Frame-pilihan.
  5. Klik Hapus di panel tindakan di sisi rata kanankan.




Properti

ID Artikel: 2694329 - Kajian Terakhir: 24 Maret 2012 - Revisi: 1.0
Berlaku bagi:
  • Microsoft Office SharePoint Server 2007
  • Microsoft SharePoint Foundation 2010
  • Microsoft SharePoint Server 2010
  • Microsoft Windows SharePoint Services 3.0
Kata kunci: 
kbmt KB2694329 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:2694329

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com