緩和 x 框架選項標頭包含進來的 framesniffing

文章翻譯 文章翻譯
文章編號: 2694329 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

Framesniffing 是一種攻擊技巧,是利用竊取資料從某個網站的瀏覽器功能。允許裝載在跨網域 IFRAME 其內容的 web 應用程式可能遭受此攻擊。

系統管理員可以將 IIS 設定成傳送 HTTP 回應標頭,以致於無法在跨網域 IFRAME 裝載內容,以降低 framesniffing。

其他相關資訊

[ X 框架選項標頭可用來控制是否 IFRAME 可置於頁面。因為 Framesniffing 技術會依賴能夠將受害站台放入 IFRAME,web 應用程式能夠保護自己傳送給適當的 x 框架選項標頭。

若要將 IIS 設定為將在 x 框架選項標頭加入至指定站台中的所有回應,請依照下列步驟執行:
  1. 開啟 [網際網路資訊服務 (IIS) 管理員]。
  2. 在左邊的 [連線] 窗格中,展開站台 資料夾,選取您想要保護的網站。
  3. 連按兩下 HTTP 回應標頭在 [功能清單中,在中間的圖示。
  4. 在右邊顯示 [動作] 窗格中,按一下新增.
  5. 在出現的對話方塊中,輸入 X 框架選項名稱 欄位,然後鍵入 SAMEORIGIN欄位。
  6. 按一下 [確定] 若要儲存您的變更。

如果您有其他需要此設定的網站,重複步驟 2 到 6 這些網站也。

這項變更將導致無法裝載於 [IFRAME 的其他網域上的 HTML 網頁。比方說,如果 contoso 公司的 IT 部門會將這項變更套用至 http://contoso.com,http://fabrikam.com 的網頁將不再能夠在 IFRAME 顯示從 http://contoso.com 的內容。

您可以修改 x 框架選項標頭,以允許來框住時封鎖所有其他網域的 http://contoso.com http://fabrikam.com 的值。若要執行這項操作,將在步驟 5 到 x 框架選項標頭的值變更 允許從 http://fabrikam.com.

如需有關 x 框架選項標頭的詳細資訊,請參閱這個 MSDN 部落格文章.

若要回復變更,請依照下列步驟執行:
  1. 開啟 [網際網路資訊服務 (IIS) 管理員]。
  2. 在左邊的 [連線] 窗格中,展開站台 資料夾,然後選取站台進行這項變更的位置。
  3. 在中間的 [功能] 清單中,連按兩下HTTP 回應標頭圖示。
  4. 在出現的標頭清單中選取 X 框架選項.
  5. 按一下 移除在 [動作] 窗格的右邊顯示。




屬性

文章編號: 2694329 - 上次校閱: 2012年3月24日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Office SharePoint Server 2007
  • Microsoft SharePoint Foundation 2010
  • Microsoft SharePoint Server 2010
  • Microsoft Windows SharePoint Services 3.0
關鍵字:?
kbmt KB2694329 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:2694329
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com