Mitigating framesniffing with the X-Frame-Options header

Podsumowanie

Framesniffing to technika ataku, która wykorzystuje funkcje przeglądarki do kradzieży danych z witryny internetowej. Aplikacje sieci Web, które zezwalają na hostowanie zawartości w formacie IFRAME między domenami, mogą być narażone na ten atak.

Administratorzy mogą ograniczyć liczbę klatek, konfigurując narzędzie IIS do wysyłania nagłówka odpowiedzi HTTP, który uniemożliwia hostowanie zawartości w formacie IFRAME między domenami.

Więcej informacji

Za pomocą nagłówka X-Frame-Options można sterować tym, czy można umieścić stronę w formacie IFRAME. Ponieważ technika Framesniffing polega na możliwości umieszczenia witryny ofiary w formacie IFRAME, aplikacja sieci Web może się chronić, wysyłając odpowiedni nagłówek X-Frame-Options.

Aby skonfigurować usługę IIS w celu dodania nagłówka X-Frame-Options do wszystkich odpowiedzi dla danej witryny, wykonaj następujące czynności:

  1. Otwórz Menedżera internetowych usług informacyjnych (IIS).
  2. W okienku Połączenia po lewej stronie rozwiń folder Witryny i wybierz witrynę, którą chcesz chronić.
  3. Kliknij dwukrotnie ikonę Nagłówki odpowiedzi HTTP na liście funkcji pośrodku.
  4. W okienku Akcje po prawej stronie kliknij przycisk Dodaj.
  5. W wyświetlonym oknie dialogowym wpisz X-Frame-Options w polu Nazwa i wpisz SAMEORIGIN w polu Wartość.
  6. Kliknij przycisk OK, aby zapisać zmiany.

Jeśli masz inne witryny, które wymagają tej konfiguracji, powtórz kroki od 2 do 6 również dla tych witryn.

Ta zmiana uniemożliwi stronom HTML w innych domenach hostowanie witryny w formacie IFRAME. Jeśli na przykład dział informatyczny firmy Contoso zastosuje tę zmianę do http://contoso.com, strony w witrynie http://fabrikam.com nie będą już mogły wyświetlać zawartości z http://contoso.com w formacie IFRAME.

Możesz zmodyfikować wartość nagłówka X-Frame-Options, aby umożliwić http://fabrikam.com ramkę http://contoso.com, blokując jednocześnie wszystkie inne domeny. W tym celu zmień wartość nagłówka X-Frame-Options w kroku 5 na wartość ALLOW-FROM http://fabrikam.com.

Aby uzyskać więcej informacji na temat nagłówka X-Frame-Options, zobacz ten wpis w blogu MSDN.

Aby przywrócić tę zmianę, wykonaj następujące czynności:

  1. Otwórz Menedżera internetowych usług informacyjnych (IIS).
  2. W okienku Połączenia po lewej stronie rozwiń folder Witryny i wybierz witrynę, w której wprowadzono tę zmianę.
  3. Na liście funkcji pośrodku kliknij dwukrotnie ikonę Nagłówki odpowiedzi HTTP.
  4. Na wyświetlonej liście nagłówków wybierz pozycję X-Frame-Options.
  5. Kliknij pozycję Usuń w okienku Akcje po prawej stronie.