Begränsa bildrutediagram med sidhuvudet X-Frame-Options

Sammanfattning

Framesniffing är en attackteknik som utnyttjar webbläsarfunktioner för att stjäla data från en webbplats. Webbprogram som tillåter att deras innehåll lagras i en IFRAME mellan domäner kan vara sårbara för den här attacken.

Administratörer kan minimera frameniffing genom att konfigurera IIS så att ett HTTP-svarshuvud skickas som hindrar innehåll från att lagras i en IFRAME mellan domäner.

Mer information

Sidhuvudet X-Frame-Options kan användas för att styra om en sida ska kunna placeras i en IFRAME. Eftersom framesniffing-tekniken förlitar sig på att kunna placera offerwebbplatsen i en IFRAME kan ett webbprogram skydda sig genom att skicka ett lämpligt X-Frame-Options-sidhuvud.

Så här konfigurerar du IIS för att lägga till ett X-Frame-Options-sidhuvud för alla svar för en viss webbplats:

  1. Öppna IIS-hanteraren (Internet Information Services).
  2. I fönstret Anslutningar till vänster expanderar du mappen Webbplatser och väljer den webbplats som du vill skydda.
  3. Dubbelklicka på ikonen HTTP-svarsrubriker i funktionslistan i mitten.
  4. Klicka på Lägg till i fönstret Åtgärder till höger.
  5. I dialogrutan som visas skriver du X-Frame-Options i fältet Namn och skriver SAMEORIGIN i fältet Värde.
  6. Spara ändringarna genom att klicka på OK.

Om du har andra webbplatser som behöver den här konfigurationen upprepar du steg 2 till 6 för de webbplatserna också.

Den här ändringen hindrar HTML-sidor på andra domäner från att vara värd för din webbplats i en IFRAME. Om till exempel Contoso IT-avdelningen tillämpar den här ändringen på http://contoso.com kommer sidor på http://fabrikam.com inte längre att kunna visa innehåll från http://contoso.com i en IFRAME.

Du kan ändra värdet i X-Frame-Options-rubriken så att http://fabrikam.com ramar in http://contoso.com samtidigt som du blockerar alla andra domäner. Det gör du genom att ändra värdet i rubriken X-Frame-Options i steg 5 till ALLOW-FROM http://fabrikam.com.

Mer information om rubriken X-Frame-Options finns i det här MSDN-blogginlägget.

Om du vill återställa ändringen gör du så här:

  1. Öppna IIS-hanteraren (Internet Information Services).
  2. I fönstret Anslutningar till vänster expanderar du mappen Webbplatser och väljer den webbplats där du gjorde ändringen.
  3. Dubbelklicka på ikonen HTTP-svarsrubriker i funktionslistan i mitten.
  4. Välj X-Frame-Options i listan med rubriker som visas.
  5. Klicka på Ta bort i fönstret Åtgärder till höger.