Nota: Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l'articolo in lingua inglese per riferimento.
Riepilogo
Framesniffing è una tecnica di attacco che sfrutta la funzionalità del browser per rubare dati da un sito Web. Le applicazioni Web che consentono di ospitare il contenuto in un IFRAME tra domini potrebbero essere vulnerabili a questo attacco.
Gli amministratori possono mitigare Framesniffing configurando IIS per inviare un'intestazione di risposta HTTP che impedisce l'hosting del contenuto in un IFRAME tra domini.
Altre informazioni
L' intestazione X-frame-options può essere usata per controllare se una pagina può essere inserita in un iframe. Dato che la tecnica Framesniffing si basa sulla possibilità di collocare il sito vittima in un IFRAME, un'applicazione Web può proteggersi inviando un'intestazione appropriata di opzioni X-frame.
Per configurare IIS per l'aggiunta di un'intestazione X-frame-options a tutte le risposte per un sito specifico, eseguire le operazioni seguenti:
-
Aprire Gestione Internet Information Services (IIS).
-
Nel riquadro connessioni sul lato sinistro espandere la cartella siti e selezionare il sito che si vuole proteggere.
-
Fare doppio clic sull'icona delle intestazioni di risposta HTTP nell'elenco delle caratteristiche al centro.
-
Nel riquadro azioni sul lato destro fare clic su Aggiungi.
-
Nella finestra di dialogo visualizzata digitare X-frame-options nel campo Name e digitare SAMEORIGIN nel campo valore.
-
Fai clic su OK per salvare le modifiche.
Se sono presenti altri siti che necessitano di questa configurazione, ripetere i passaggi da 2 a 6 anche per questi siti.
Questa modifica impedirà alle pagine HTML di altri domini di ospitare il sito in un IFRAME. Ad esempio, se il reparto IT di Contoso applica questa modifica a http://contoso.com, le pagine di http://fabrikam.com non saranno più in grado di visualizzare il contenuto da http://contoso.com in un IFRAME.
Puoi modificare il valore dell'intestazione X-frame-options per consentire a http://fabrikam.com di inquadrare http://contoso.com durante il blocco di tutti gli altri domini. A questo scopo, cambia il valore dell'intestazione X-frame-options nel passaggio 5 per consentire-da http://fabrikam.com.
Per altre informazioni sull'intestazione X-frame-options, vedere questo post di Blog di MSDN.
Per ripristinare la modifica, eseguire le operazioni seguenti:
-
Aprire Gestione Internet Information Services (IIS).
-
Nel riquadro connessioni sul lato sinistro espandere la cartella siti e selezionare il sito in cui è stata apportata la modifica.
-
Nell'elenco delle caratteristiche al centro fare doppio clic sull'icona intestazioni di risposta HTTP.
-
Nell'elenco delle intestazioni visualizzate selezionare X-frame-options.
-
Fare clic su Rimuovi nel riquadro azioni sul lato destro.
