Hinweis: Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.
Zusammenfassung
Framesniffing ist eine Angriffsmethode, die die Browserfunktionalität nutzt, um Daten von einer Website zu stehlen. Webanwendungen, die ihre Inhalte in einem domänenübergreifenden IFRAME hosten können, sind möglicherweise anfällig für diesen Angriff.
Administratoren können framesniffing minimieren, indem Sie IIS so konfigurieren, dass ein HTTP-Antwortheader gesendet wird, der verhindert, dass Inhalte in einem domänenübergreifenden IFRAME gehostet werden.
Weitere Informationen
Mit dem Header "X-Frame-Optionen " können Sie steuern, ob eine Seite in einem IFRAME platziert werden kann. Da die Framesniffing-Technik davon abhängt, die Opfer Website in einem IFRAME platzieren zu können, kann eine Webanwendung sich selbst schützen, indem Sie eine entsprechende Kopfzeile der X-Frame-Optionen sendet.
Führen Sie die folgenden Schritte aus, um IIS so zu konfigurieren, dass allen Antworten für eine bestimmte Website eine Kopfzeile mit X-Frame-Optionen hinzugefügt wird:
-
Öffnen Sie Internet Informationsdienste (IIS)-Manager.
-
Erweitern Sie im Bereich Verbindungen auf der linken Seite den Ordner Websites, und wählen Sie die Website aus, die Sie schützen möchten.
-
Doppelklicken Sie in der Liste der Features in der Mitte auf das Symbol HTTP-Antwort Kopfzeilen.
-
Klicken Sie im Bereich Aktionen auf der rechten Seite auf hinzufügen.
-
Geben Sie im daraufhin angezeigten Dialogfeld im Feld Name den Namen X-Frame-Optionen ein, und geben Sie SAMEORIGIN in das Feld Wert ein.
-
Klicken Sie auf OK, um die Änderungen zu speichern.
Wenn Sie über andere Websites verfügen, die diese Konfiguration benötigen, wiederholen Sie die Schritte 2 bis 6 für diese Websites ebenfalls.
Durch diese Änderung wird verhindert, dass HTML-Seiten in anderen Domänen Ihre Website in einem IFRAME hosten. Wenn z. b. die Contoso-IT-Abteilung diese Änderung auf http://contoso.com angewendet hat, können Seiten bei http://fabrikam.com keine Inhalte mehr aus http://contoso.com in einem IFRAME anzeigen.
Sie können den Wert der Kopfzeile "X-Frame-Optionen" ändern, damit http://fabrikam.com Rahmen http://contoso.com, während alle anderen Domänen blockiert werden. Ändern Sie zu diesem Zweck den Wert der Kopfzeile der X-Frame-Optionen in Schritt 5 auf zulassen-aus http://fabrikam.com.
Weitere Informationen zur Kopfzeile der X-Frame-Optionen finden Sie in diesem MSDN-Blogbeitrag.
Führen Sie die folgenden Schritte aus, um die Änderung rückgängig zu machen:
-
Öffnen Sie Internet Informationsdienste (IIS)-Manager.
-
Erweitern Sie im Bereich Verbindungen auf der linken Seite den Ordner Websites, und wählen Sie die Website aus, auf der Sie diese Änderung vorgenommen haben.
-
Doppelklicken Sie in der Liste der Features in der Mitte auf das Symbol HTTP-Antwort Kopfzeilen.
-
Wählen Sie in der angezeigten Liste der Kopfzeilen den Eintrag X-Frame-Optionen aus.
-
Klicken Sie auf der rechten Seite im Bereich Aktionen auf entfernen.
