Atténuation des framesniffing avec l’en-tête X-Frame-Options

Résumé

Framesniffing est une technique d’attaque qui tire parti des fonctionnalités du navigateur pour voler des données d’un site web. Les applications web qui autorisent l’hébergement de leur contenu dans un IFRAME inter-domaines peuvent être vulnérables à cette attaque.

Les administrateurs peuvent atténuer les framesniffing en configurant IIS pour envoyer un en-tête de réponse HTTP qui empêche l’hébergement du contenu dans un IFRAME inter-domaines.

Informations complémentaires

L’en-tête X-Frame-Options peut être utilisé pour contrôler si une page peut être placée dans un IFRAME. Étant donné que la technique framesniffing repose sur la possibilité de placer le site de la victime dans un IFRAME, une application web peut se protéger en envoyant un en-tête X-Frame-Options approprié.

Pour configurer IIS afin d’ajouter un en-tête X-Frame-Options à toutes les réponses d’un site donné, procédez comme suit :

  1. Ouvrez le Gestionnaire des services Internet (IIS).
  2. Dans le volet Connexions sur le côté gauche, développez le dossier Sites et sélectionnez le site que vous souhaitez protéger.
  3. Double-cliquez sur l’icône En-têtes de réponse HTTP dans la liste des fonctionnalités au milieu.
  4. Dans le volet Actions à droite, cliquez sur Ajouter.
  5. Dans la boîte de dialogue qui s’affiche, tapez X-Frame-Options dans le champ Nom et tapez SAMEORIGIN dans le champ Valeur.
  6. Cliquez sur OK pour enregistrer vos modifications.

Si vous avez d’autres sites qui ont besoin de cette configuration, répétez également les étapes 2 à 6 pour ces sites.

Cette modification empêche les pages HTML sur d’autres domaines d’héberger votre site dans un IFRAME. Par exemple, si le service informatique de Contoso applique cette modification à http://contoso.com, les pages de http://fabrikam.com ne pourront plus afficher le contenu de http://contoso.com dans un IFRAME.

Vous pouvez modifier la valeur de l’en-tête X-Frame-Options pour permettre à http://fabrikam.com d’encadrer http://contoso.com tout en bloquant tous les autres domaines. Pour ce faire, remplacez la valeur de l’en-tête X-Frame-Options à l’étape 5 par ALLOW-FROM http://fabrikam.com.

Pour plus d’informations sur l’en-tête X-Frame-Options, consultez ce billet de blog MSDN.

Pour annuler la modification, procédez comme suit :

  1. Ouvrez le Gestionnaire des services Internet (IIS).
  2. Dans le volet Connexions sur le côté gauche, développez le dossier Sites, puis sélectionnez le site sur lequel vous avez apporté cette modification.
  3. Dans la liste des fonctionnalités au milieu, double-cliquez sur l’icône En-têtes de réponse HTTP.
  4. Dans la liste des en-têtes qui s’affiche, sélectionnez X-Frame-Options.
  5. Cliquez sur Supprimer dans le volet Actions sur le côté droit.