Frames beperken met de header X-Frame-Options

Overzicht

Framesniffing is een aanvalstechniek die gebruikmaakt van browserfunctionaliteit om gegevens van een website te stelen. Webtoepassingen die toestaan dat hun inhoud wordt gehost in een IFRAME tussen domeinen, zijn mogelijk kwetsbaar voor deze aanval.

Beheerders kunnen het aantal frames beperken door IIS te configureren voor het verzenden van een HTTP-antwoordheader die voorkomt dat inhoud wordt gehost in een IFRAME tussen domeinen.

Meer informatie

De header X-Frame-Options kan worden gebruikt om te bepalen of een pagina in een IFRAME kan worden geplaatst. Omdat de framesniffing-techniek afhankelijk is van het kunnen plaatsen van de slachtoffersite in een IFRAME, kan een webtoepassing zichzelf beschermen door een juiste X-Frame-Options-header te verzenden.

Voer de volgende stappen uit om IIS te configureren om een X-Frame-Options-header toe te voegen aan alle antwoorden voor een bepaalde site:

  1. Open IIS-beheer (Internet Information Services).
  2. Vouw in het deelvenster Verbindingen aan de linkerkant de map Sites uit en selecteer de site die u wilt beveiligen.
  3. Dubbelklik op het pictogram HTTP-antwoordheaders in de functielijst in het midden.
  4. Klik in het deelvenster Acties aan de rechterkant op Toevoegen.
  5. Typ in het dialoogvenster dat wordt weergegeven X-Frame-Options in het veld Naam en typ SAMEORIGIN in het veld Waarde.
  6. Klik op OK om de wijzigingen op te slaan.

Als u andere sites hebt die deze configuratie nodig hebben, herhaalt u stap 2 tot en met 6 ook voor deze sites.

Door deze wijziging voorkomt u dat HTML-pagina's in andere domeinen uw site hosten in een IFRAME. Als de IT-afdeling van Contoso deze wijziging bijvoorbeeld toepast op http://contoso.com, kunnen pagina's op http://fabrikam.com geen inhoud meer weergeven van http://contoso.com in een IFRAME.

U kunt de waarde van de header X-Frame-Options wijzigen zodat http://fabrikam.com http://contoso.com kunt framen terwijl alle andere domeinen worden geblokkeerd. Wijzig hiervoor de waarde van de header X-Frame-Options in stap 5 in ALLOW-FROM http://fabrikam.com.

Zie dit MSDN-blogbericht voor meer informatie over de header X-Frame-Options.

Voer de volgende stappen uit om de wijziging ongedaan te maken:

  1. Open IIS-beheer (Internet Information Services).
  2. Vouw in het deelvenster Verbindingen aan de linkerkant de map Sites uit en selecteer de site waar u deze wijziging hebt aangebracht.
  3. Dubbelklik in de lijst met functies in het midden op het pictogram HTTP-antwoordheaders.
  4. Selecteer X-Frame-Options in de lijst met kopteksten die wordt weergegeven.
  5. Klik op Verwijderen in het deelvenster Acties aan de rechterkant.