Framesniffing X-フレームのオプション ヘッダーを軽減します。

文書翻訳 文書翻訳
文書番号: 2694329
すべて展開する | すべて折りたたむ

概要

Framesniffing の web サイトからのデータを盗み、ブラウザーの機能を利用して、攻撃の手法です。ドメイン間の IFRAME でホストされているコンテンツを許可する web アプリケーションは、この攻撃に対して脆弱な場合があります。

管理者は、ドメイン間の IFRAME でホストされるコンテンツを防ぐことができます、HTTP 応答ヘッダーを送信するように IIS を構成することによって、framesniffing を軽減できます。

詳細

X-フレームのオプション ヘッダーIFRAME でページを配置できるかどうか、コントロールを使用できます。Framesniffing 手法の IFRAME で犠牲者のサイトに配置できることに依存するため、web アプリケーション自体は、X-フレーム-オプションの適切なヘッダーを送信することによって保護できます。

すべての応答は、特定のサイトには、X-フレームのオプション ヘッダーを追加するように IIS を構成するには、次の手順を実行します。
  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。
  2. 左側に接続ウィンドウ、サイトフォルダーを展開し、[保護対象とサイトを選択します。
  3. 機能の一覧で、中央にHTTP 応答のヘッダーをダブルクリックします。
  4. 右側の [操作] ウィンドウで、[追加を] をクリックします。
  5. 表示されるダイアログ ボックスを入力します。 X-フレームのオプション フィールドの名前と種類で SAMEORIGINフィールドにします。
  6. 変更を保存するには、 [ok]をクリックします。

この構成が必要な他のサイトがある場合は、またそれらのサイトを手順 2 〜 6 を繰り返します。

この変更は、IFRAME のサイトをホスト HTML ページ上の他のドメインが回避されます。Contoso 社の IT 部門 http://contoso.com にこの変更を適用する場合は、たとえば、ページ http://fabrikam.com には IFRAME で http://contoso.com からのコンテンツを表示することできなくなります。

その他のすべてのドメインをブロックするときに http://contoso.com に http://fabrikam.com を許可するように、X-フレームのオプション ヘッダーの値を変更することができます。これを行うには、手順 5 でオプション-X のフレーム ヘッダーの値を許可から http://fabrikam.comに変更します。

X-フレームのオプション ヘッダーの詳細についてを参照してください。この MSDN ブログの投稿.

変更を元に戻すには、次の手順を実行します。
  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。
  2. 左側に接続ウィンドウ、フォルダーを展開し、[この変更を行ったサイトを選択します。
  3. 機能一覧で中央では、 HTTP 応答ヘッダー ] アイコンをダブルクリックします。
  4. 表示されるヘッダーの一覧で、 X のフレームのオプションを選択します。
  5. [操作] ウィンドウの右側にある [削除] をクリックします。




プロパティ

文書番号: 2694329 - 最終更新日: 2012年3月24日 - リビジョン: 1.0
キーワード:?
kbmt KB2694329 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2694329
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com