降低与 X-框架选项标头的 framesniffing

文章翻译 文章翻译
文章编号: 2694329 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

Framesniffing 是一种攻击技术,利用窃取数据从一个网站的浏览器功能。允许在跨域 IFRAME 中承载其内容的 web 应用程序可能易受此攻击。

管理员可以通过配置 IIS 以发送 HTTP 响应标头,可防止内容被承载在跨域 IFRAME 减轻 framesniffing。

更多信息

" X-框架选项标头可用于控制是否可以将网页放在 IFRAME。由于能够将受害站点放在 IFRAME 依赖的 Framesniffing 技术,web 应用程序可以通过发送相应的选项-X-框架标题来保护自己。

要配置 IIS 将 X-框架选项标头添加到给定站点的所有响应,请执行以下步骤:
  1. 打开 Internet Information Services (IIS) 管理器。
  2. 在左侧的连接窗格中,展开站点 文件夹,然后选择您想要保护的网站。
  3. 双击 HTTP 响应标头在中间的功能列表中的图标。
  4. 在操作窗格的右侧,单击添加.
  5. 在出现的对话框中,键入 X-框架选项 在中 名称 域并键入 SAMEORIGIN 在中 字段。
  6. 单击 确定 若要保存所做的更改。

如果您需要此配置的其他站点,还为这些站点重复步骤 2 到 6。

此更改将会阻止其他域上的 HTML 页主持 IFRAME 在您的站点。例如,Contoso IT 部门将此更改应用到 http://contoso.com,如果 http://fabrikam.com 处的页将不能再显示 IFRAME http://contoso.com 中的内容。

您可以修改以允许同时阻止所有其他域中帧 http://contoso.com 的 http://fabrikam.com X-框架选项标头的值。要执行此操作,更改到第 5 步中的 X-框架选项标头的值 允许从 http://fabrikam.com.

X-框架选项标头的详细信息,请参阅此 MSDN 博客张贴内容.

若要还原更改,请执行以下步骤:
  1. 打开 Internet Information Services (IIS) 管理器。
  2. 在左侧的连接窗格中,展开站点 文件夹,并选择您所做更改的站点。
  3. 在中间的功能列表中,双击HTTP 响应标头图标。
  4. 在显示的标题的列表中选择 X-框架选项.
  5. 单击 删除在操作窗格的右侧。




属性

文章编号: 2694329 - 最后修改: 2012年3月24日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Office SharePoint Server 2007
  • Microsoft SharePoint Foundation 2010
  • Microsoft SharePoint Server 2010
  • Microsoft Windows SharePoint Services 3.0
关键字:?
kbmt KB2694329 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2694329
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com