Notă: Dorim să vă oferim cel mai recent conținut de ajutor, cât mai rapid posibil, în limba dvs. Această pagină a fost tradusă automatizat și poate conține erori gramaticale sau inexactități. Scopul nostru este ca acest conținut să vă fie util. Vă rugăm să ne spuneți dacă informațiile v-au fost utile, în partea de jos a acestei pagini. Aici se află articolul în limba engleză, ca să îl puteți consulta cu ușurință.
Rezumat
Framesniffing este o tehnică atac care duce beneficia de funcționalitatea de browser pentru a fura date dintr-un site web. Aplicații web care permite lor de conținut să fie găzduită într-un IFRAME între domenii poate fi vulnerabile la acest atac.
Administratorii pot atenuarea framesniffing prin configurarea IIS pentru a trimite un antet de răspuns HTTP care împiedică conținut este găzduit într-un IFRAME între domenii.
Mai multe informații
Antetul X-cadru-opțiuni pot fi utilizate pentru a controla dacă o pagină poate fi plasat într-un IFRAME. Deoarece tehnica Framesniffing se bazează pe posibilitatea să plasați site-ul victimă într-un IFRAME, o aplicație web propriu-zis puteți proteja prin trimiterea unui antet corespunzătoare X-cadru-opțiuni.
Pentru a configura IIS pentru a adăuga un antet de opțiuni de X cadru la toate răspunsurile pentru un anumit site, urmați acești pași:
-
Deschideți Internet Information Services (IIS) Manager.
-
În panoul de conexiuni în partea din stânga, extindeți folderul de site-uri și selectați site-ul pe care doriți să o protejați.
-
Faceți dublu clic pe pictograma răspuns HTTP anteturi din listă de caracteristici în mijlocul.
-
În panoul de acțiuni din partea dreaptă, faceți clic pe Adăugare.
-
În caseta de dialog care apare, tastați X-cadru-opțiuni în câmpul nume și tip SAMEORIGIN în câmpul valoric.
-
Faceți clic pe OK pentru a salva modificările.
Dacă aveți alte site-uri care au nevoie de această configurație, repetați pașii 2-6 pentru acele site-uri, de asemenea.
Această modificare va împiedica pagini HTML pe alte domenii găzduirea site-ul dvs., într-un IFRAME. De exemplu, dacă departamentul Contoso aceasta se aplică această modificare la http://contoso.com, pagini la http://fabrikam.com va fi nu mai puteți să afișați conținut din http://contoso.com într-un IFRAME.
Aveți posibilitatea să modificați valoarea antetul X-cadru-opțiuni pentru a permite http://fabrikam.com pentru a încadra http://contoso.com în timp ce blochează toate celelalte domenii. Pentru a face acest lucru, modificați valoarea antetul X-cadru-opțiuni în pasul 5 pentru a permite din http://fabrikam.com.
Pentru mai multe informații despre antetul X-cadru-opțiuni, consultați această publicare pe blog MSDN.
Pentru a reveni modificare, urmați acești pași:
-
Deschideți Internet Information Services (IIS) Manager.
-
În panoul de conexiuni în partea din stânga, extindeți folderul de site-uri și selectați site-ul de unde ați făcut această modificare.
-
În lista de caracteristici în mijlocul, faceți dublu clic pe pictograma răspuns HTTP anteturi.
-
În lista de anteturi care apare, selectați X-cadru-opțiuni.
-
Faceți clic pe Eliminare în panoul de acțiuni din partea dreaptă.