Устранение неполадок кадров с помощью заголовка X-Frame-Options

Сводка

Фреймниффинг — это метод атаки, который использует функциональные возможности браузера для кражи данных с веб-сайта. Веб-приложения, которые позволяют размещать свое содержимое в междоменной IFRAME, могут быть уязвимы для этой атаки.

Администраторы могут устранять проблемы с различающимися кадрами, настроив СЛУЖБЫ IIS для отправки заголовка HTTP-ответа, который предотвращает размещение содержимого в междоменной IFRAME.

Дополнительные сведения

Заголовок X-Frame-Options можно использовать для управления размещением страницы в IFRAME. Так как метод Frameniffing основан на возможности размещения сайта жертвы в IFRAME, веб-приложение может защитить себя, отправив соответствующий заголовок X-Frame-Options.

Чтобы настроить IIS для добавления заголовка X-Frame-Options во все ответы для данного сайта, выполните следующие действия.

  1. Откройте диспетчер служб IIS.
  2. В области Подключения слева разверните папку Сайты и выберите сайт, который нужно защитить.
  3. Дважды щелкните значок Заголовки HTTP-ответов в списке компонентов в середине.
  4. В области Действия справа нажмите кнопку Добавить.
  5. В появившемся диалоговом окне введите X-Frame-Options в поле Имя и SAMEORIGIN в поле Значение.
  6. Нажмите кнопку OK, чтобы сохранить изменения.

Если у вас есть другие сайты, которым требуется такая конфигурация, повторите шаги 2–6 для этих сайтов.

Это изменение не позволит html-страницам в других доменах размещать ваш сайт в IFRAME. Например, если ИТ-отдел Contoso применяет это изменение к http://contoso.com, страницы в http://fabrikam.com больше не смогут отображать содержимое из http://contoso.com в IFRAME.

Вы можете изменить значение заголовка X-Frame-Options, чтобы разрешить http://fabrikam.com обрамить http://contoso.com при блокировке всех остальных доменов. Для этого измените значение заголовка X-Frame-Options на шаге 5 на ALLOW-FROM http://fabrikam.com.

Дополнительные сведения о заголовке X-Frame-Options см. в этой записи блога MSDN.

Чтобы отменить изменения изменения, выполните следующие действия.

  1. Откройте диспетчер служб IIS.
  2. В области Подключения слева разверните папку Сайты и выберите сайт, на котором вы внесли это изменение.
  3. В списке компонентов в середине дважды щелкните значок Заголовки http-ответов.
  4. В появившемся списке заголовков выберите X-Frame-Options.
  5. Нажмите кнопку Удалить в области Действия справа.