참고: 사용자 언어로 가능한 한 빨리 가장 최신의 도움말 콘텐츠를 제공하고자 합니다. 이 페이지는 자동화를 통해 번역되었으며 문법 오류나 부정확한 설명을 포함할 수 있습니다. 이 목적은 콘텐츠가 사용자에게 유용하다는 것입니다. 이 페이지 하단의 정보가 도움이 되었다면 알려주세요. 쉽게 참조할 수 있는 영어 문서가 여기 있습니다.
요약
Framesniffing은 브라우저 기능을 활용 하 여 웹 사이트에서 데이터를 도용 하는 공격 기술입니다. 도메인 간 IFRAME에서 콘텐츠를 호스팅할 수 있도록 하는 웹 응용 프로그램은이 공격에 취약할 수 있습니다.
관리자는 도메인 간 IFRAME에서 콘텐츠가 호스팅될 수 없도록 하는 HTTP 응답 헤더를 보내도록 IIS를 구성 하 여 framesniffing을 완화할 수 있습니다.
추가 정보
X-프레임 옵션 헤더 를 사용 하 여 페이지를 IFRAME에 배치할 수 있는지 여부를 제어할 수 있습니다. Framesniffing 기술은 피해자 사이트를 IFRAME에 배치할 수 있기 때문에 웹 응용 프로그램은 적절 한 X 프레임 옵션 헤더를 보내 스스로를 보호할 수 있습니다.
주어진 사이트의 모든 응답에 X-프레임 옵션 헤더를 추가 하도록 IIS를 구성 하려면 다음 단계를 따릅니다.
-
IIS (인터넷 정보 서비스) 관리자를 엽니다.
-
왼쪽의 연결 창에서 사이트 폴더를 확장 하 고 보호 하려는 사이트를 선택 합니다.
-
가운데 있는 기능 목록에서 HTTP 응답 헤더 아이콘을 두 번 클릭 합니다.
-
오른쪽의 작업 창에서 추가를 클릭 합니다.
-
나타나는 대화 상자에서 Name 필드에 X-Frame-옵션을 입력 하 고 값 필드에 SAMEORIGIN를 입력 합니다.
-
확인을 클릭하여 변경 내용을 저장합니다.
이 구성이 필요한 다른 사이트가 있는 경우 해당 사이트에 대해서도 2-6 단계를 반복 합니다.
이 변경으로 인해 다른 도메인의 HTML 페이지가 IFRAME에서 사이트를 호스팅하지 못합니다. 예를 들어 Contoso IT 부서가이 변경 내용을 http://contoso.com에 적용 하는 경우 http://fabrikam.com의 페이지에서 더 이상 IFRAME의 http://contoso.com 콘텐츠를 표시할 수 없습니다.
다른 모든 도메인을 차단 하는 동안 http://fabrikam.com 프레임 http://contoso.com을 허용 하도록 X-프레임 옵션 헤더의 값을 수정할 수 있습니다. 이렇게 하려면 5 단계의 X-프레임 옵션 헤더 값을 http://fabrikam.com 허용으로 변경 합니다.
X-프레임 옵션 헤더에 대 한 자세한 내용은 이 MSDN 블로그 게시물을 참조 하세요.
변경 내용을 되돌리려면 다음 단계를 수행 합니다.
-
IIS (인터넷 정보 서비스) 관리자를 엽니다.
-
왼쪽의 연결 창에서 사이트 폴더를 확장 하 고이 변경 내용을 적용 한 사이트를 선택 합니다.
-
가운데의 기능 목록에서 HTTP 응답 헤더 아이콘을 두 번 클릭 합니다.
-
표시 되는 머리글 목록에서 X-프레임-옵션을 선택 합니다.
-
오른쪽의 작업 창에서 제거를 클릭 합니다.