Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке).
Сводка
Фрамесниффинг — это способ атаки, который использует преимущества функций браузера для кражи данных с веб-сайта. Веб-приложения, которые позволяют размещать контент в междоменном IFRAME, могут быть подвержены этой атаке.
Администраторы могут уменьшить фрамесниффинг, настроив IIS на отправку HTTP-заголовка ответа, предотвращающего размещение содержимого в междоменном IFRAME.
Дополнительные сведения
Заголовок X-Frame-Options можно использовать для управления расположением страницы в окне IFRAME. Так как метод Фрамесниффинг полагается на возможность размещения сайта-жертвы в окне IFRAME, веб-приложение может защищать себя, отправив соответствующий заголовок X-Frame-Options.
Чтобы настроить IIS на добавление заголовка X-Frame-Options ко всем ответам для определенного сайта, выполните указанные ниже действия.
-
Откройте диспетчер служб IIS.
-
В левой части области соединения разверните папку сайты и выберите сайт, который вы хотите защитить.
-
Дважды щелкните значок заголовки HTTP-ответа в списке компонентов в центре.
-
На правой стороне панели действий нажмите кнопку Добавить.
-
В появившемся диалоговом окне введите X-Frame-Options в поле Name (имя) и введите САМЕОРИГИН в поле Value (значение).
-
Нажмите кнопку OK, чтобы сохранить изменения.
Если у вас есть другие сайты, для которых нужна эта конфигурация, повторите действия 2 – 6 для этих сайтов.
Это изменение не позволит HTML-страницам в других доменах размещать ваш сайт в Интернет-КАДРе. Например, если ИТ-отдел Contoso применяет это изменение к http://contoso.com, страницы на http://fabrikam.com больше не смогут отображать содержимое из http://contoso.com в Интернет-КАДРе.
Вы можете изменить значение заголовка X-Frame-Options, чтобы разрешить http://fabrikam.com кадру http://contoso.com при блокировании всех других доменов. Для этого измените значение заголовка X-Frame-Options в действии 5 на http://fabrikam.com.
Дополнительные сведения о заголовке X-Frame-Options см. в этой записи в блоге MSDN.
Чтобы отменить изменения, выполните указанные ниже действия.
-
Откройте диспетчер служб IIS.
-
На панели подключения в левой части экрана разверните папку сайты и выберите сайт, на который вы внесли это изменение.
-
Дважды щелкните значок заголовки HTTP-ответа в списке компонентов.
-
В появившемся списке заголовков выберите пункт X-Frame-Options (параметры).
-
На правой стороне панели действий нажмите кнопку Удалить.
