Mitigação de framesniffing com o cabeçalho X-Frame-Options

Resumo

Framesniffing é uma técnica de ataque que tira partido da funcionalidade do browser para roubar dados de um site. As aplicações Web que permitem que os respetivos conteúdos sejam alojados numa IFRAME entre domínios podem estar vulneráveis a este ataque.

Os administradores podem mitigar a diferença de frames ao configurar o IIS para enviar um cabeçalho de resposta HTTP que impede o conteúdo de ser alojado num IFRAME entre domínios.

Mais informações

O cabeçalho X-Frame-Options pode ser utilizado para controlar se uma página pode ser colocada numa IFRAME. Uma vez que a técnica framesniffing depende da capacidade de colocar o site da vítima numa IFRAME, uma aplicação Web pode proteger-se ao enviar um cabeçalho X-Frame-Options adequado.

Para configurar o IIS para adicionar um cabeçalho X-Frame-Options a todas as respostas de um determinado site, siga estes passos:

  1. Abra o Gestor de Serviços de Informação Internet (IIS).
  2. No painel Ligações no lado esquerdo, expanda a pasta Sites e selecione o site que pretende proteger.
  3. Faça duplo clique no ícone Cabeçalhos de Resposta HTTP na lista de funcionalidades no meio.
  4. No painel Ações no lado direito, clique em Adicionar.
  5. Na caixa de diálogo apresentada, escreva X-Frame-Options no campo Nome e escreva SAMEORIGIN no campo Valor.
  6. Clique em OK para salvar as alterações.

Se tiver outros sites que necessitem desta configuração, repita também os passos 2 a 6 para esses sites.

Esta alteração impedirá que páginas HTML noutros domínios alojem o seu site numa IFRAME. Por exemplo, se o departamento de TI da Contoso aplicar esta alteração a http://contoso.com, as páginas em http://fabrikam.com deixarão de poder apresentar conteúdo de http://contoso.com numa IFRAME.

Pode modificar o valor do cabeçalho X-Frame-Options para permitir http://fabrikam.com enquadrar http://contoso.com enquanto bloqueia todos os outros domínios. Para tal, altere o valor do cabeçalho X-Frame-Options no passo 5 para ALLOW-FROM http://fabrikam.com.

Para obter mais informações sobre o cabeçalho X-Frame-Options, veja esta mensagem de blogue do MSDN.

Para reverter a alteração, siga estes passos:

  1. Abra o Gestor de Serviços de Informação Internet (IIS).
  2. No painel Ligações no lado esquerdo, expanda a pasta Sites e selecione o site onde efetuou esta alteração.
  3. Na lista de funcionalidades no meio, faça duplo clique no ícone Cabeçalhos de Resposta HTTP.
  4. Na lista de cabeçalhos apresentados, selecione X-Frame-Options.
  5. Clique em Remover no painel Ações no lado direito.