X-Frame-Options üst bilgisi ile çerçeve azaltma

Özet

Çerçeve ayıklama, bir web sitesinden veri çalmak için tarayıcı işlevselliğinden yararlanan bir saldırı tekniğidir. İçeriklerinin etki alanları arası bir IFRAME'de barındırılmalarına izin veren web uygulamaları bu saldırıya karşı savunmasız olabilir.

Yöneticiler, içeriğin etki alanları arası bir IFRAME'de barındırılmasını engelleyen bir HTTP yanıt üst bilgisi göndermek için IIS'yi yapılandırarak çerçeve azaltmayı azaltabilir.

Daha fazla bilgi

X-Frame-Options üst bilgisi, bir sayfanın IFRAME'e yerleştirilip yerleştirilemeyeceğini denetlemek için kullanılabilir. Framesniffing tekniği, kurban sitesini bir IFRAME'e yerleştirebilmeyi kullandığından, bir web uygulaması uygun bir X-Frame-Options üst bilgisi göndererek kendini koruyabilir.

IIS'yi belirli bir sitenin tüm yanıtlarına X-Frame-Options üst bilgisi ekleyecek şekilde yapılandırmak için şu adımları izleyin:

  1. Internet Information Services (IIS) Yöneticisi'ne gidin.
  2. Sol taraftaki Bağlantılar bölmesinde Siteler klasörünü genişletin ve korumak istediğiniz siteyi seçin.
  3. Ortadaki özellik listesinde HTTP Yanıt Üst Bilgileri simgesine çift tıklayın.
  4. Sağ taraftaki Eylemler bölmesinde Ekle'ye tıklayın.
  5. Görüntülenen iletişim kutusunda, Ad alanına X-Frame-Options yazın ve Değer alanına SAMEORIGIN yazın.
  6. Yaptığınız değişiklikleri kaydetmek için Tamam'ı tıklatın.

Bu yapılandırmaya ihtiyaç duyan başka siteleriniz varsa, bu siteler için 2 ile 6 arasındaki adımları da yineleyin.

Bu değişiklik, diğer etki alanlarındaki HTML sayfalarının sitenizi bir IFRAME'de barındırmasını engeller. Örneğin, Contoso BT departmanı bu değişikliği http://contoso.com uygularsa, http://fabrikam.com'daki sayfalar artık http://contoso.com içeriği IFRAME'de görüntüleyemez.

X-Frame-Options üst bilgisinin değerini, http://fabrikam.com diğer tüm etki alanlarını engellerken http://contoso.com çerçevelemesine izin verecek şekilde değiştirebilirsiniz. Bunu yapmak için 5. adımda X-Frame-Options üst bilgisinin değerini ALLOW-FROM http://fabrikam.com olarak değiştirin.

X-Frame-Options üst bilgisi hakkında daha fazla bilgi için bu MSDN blog gönderisine bakın.

Değişikliği geri almak için şu adımları izleyin:

  1. Internet Information Services (IIS) Yöneticisi'ne gidin.
  2. Sol taraftaki Bağlantılar bölmesinde Siteler klasörünü genişletin ve bu değişikliği yaptığınız siteyi seçin.
  3. Ortadaki özellik listesinde HTTP Yanıt Üst Bilgileri simgesine çift tıklayın.
  4. Görüntülenen üst bilgi listesinde X-Frame-Options'ı seçin.
  5. Sağ taraftaki Eylemler bölmesinde Kaldır'a tıklayın.