Послаблення ризиків для додавання рамок із заголовком "Параметри X-Frame-Options"

Зведення

Framesniffing – це метод атаки, який використовує функції браузера, щоб викрасти дані з веб-сайту. Веб-застосунки, які дозволяють розміщувати їхній вміст у міждоменному домені IFRAME, можуть бути вразливими до цієї атаки.

Адміністратори можуть зменшити кількість рамок, налаштувавши IIS на надсилання заголовка відповіді HTTP, який запобігає розміщенню вмісту в міждоменному об'ємі IFRAME.

Додаткові відомості

За допомогою заголовка X-Frame-Options можна керувати розташуванням сторінки в об'єкті IFRAME. Оскільки метод Framesniffing покладається на можливість розміщення сайту жертви в IFRAME, веб-застосунок може захистити себе, надіславши відповідний заголовок параметрів X-Frame.

Щоб настроїти IIS, щоб додати заголовок X-Frame-Options до всіх відповідей для певного сайту, виконайте такі дії:

  1. Відкрийте диспетчер інформаційних служб Інтернету (IIS).
  2. В області Підключення ліворуч розгорніть папку Сайти та виберіть сайт, який потрібно захистити.
  3. Двічі клацніть піктограму Заголовків відповідей HTTP у списку функцій посередині.
  4. В області Дії праворуч натисніть кнопку Додати.
  5. У діалоговому вікні, що з'явиться, введіть X-Frame-Options у полі Ім'я та введіть SAMEORIGIN у полі Значення.
  6. Натисніть кнопку OK, щоб зберегти зміни.

Якщо у вас є інші сайти, яким потрібна ця конфігурація, повторіть кроки 2–6 для цих сайтів.

Ця зміна не дозволить html-сторінкам інших доменів розміщувати ваш сайт в IFRAME. Наприклад, якщо ІТ-відділ Contoso застосує цю зміну до http://contoso.com, сторінки в http://fabrikam.com більше не зможуть відображати вміст із http://contoso.com в IFRAME.

Ви можете змінити значення заголовка X-Frame-Options, щоб дозволити http://fabrikam.com кадрувати http://contoso.com, блокуючи всі інші домени. Для цього змініть значення заголовка X-Frame-Options на кроці 5 на ALLOW-FROM http://fabrikam.com.

Докладні відомості про заголовок параметрів X-Frame див. в цьому записі блоґу MSDN.

Щоб повернути зміни, виконайте такі дії:

  1. Відкрийте диспетчер інформаційних служб Інтернету (IIS).
  2. В області Підключення ліворуч розгорніть папку Сайти та виберіть сайт, на якому внесено цю зміну.
  3. У списку функцій посередині двічі клацніть піктограму Заголовки відповідей HTTP.
  4. У списку заголовків, що з'явиться, виберіть X-Frame-Options.
  5. В області Дії праворуч натисніть кнопку Видалити.