Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Giảm nhẹ framesniffing với tiêu đề tùy chọn X-Frame

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:2694329
TÓM TẮT
Framesniffing là một kỹ thuật tấn công mà lợi dụng chức năng trình duyệt để ăn cắp dữ liệu từ một trang web. Các ứng dụng web cho phép nội dung của họ để được lưu trữ trong một khung nội tuyến cross-miền có thể dễ bị tổn thương đến cuộc tấn công này.

Quản trị viên có thể giảm thiểu framesniffing bằng cách cấu hình IIS để gửi một phản ứng tiêu đề HTTP có thể ngăn chặn nội dung từ đang được lưu trữ trong một khung nội tuyến cross-miền.
THÔNG TIN THÊM
Các Tiêu đề X-khung-tùy chọncó thể sử dụng để kiểm soát cho dù một trang có thể được đặt trong một khung nội tuyến. Bởi vì kỹ thuật Framesniffing dựa trên đang được đưa trang web nạn nhân vào trong một khung nội tuyến, một ứng dụng web có thể bảo vệ bản thân bằng cách gửi một tiêu đề X-khung-tùy chọn thích hợp.

Để cấu hình IIS để thêm một tiêu đề X-khung-tùy chọn để hồi đáp tất cả cho một trang web nhất định, hãy làm theo các bước sau:
  1. Mở bộ quản lý thông tin Internet Services (IIS).
  2. Trong cửa sổ các kết nối bên trái, mở rộng cácCác trang web thư mục và chọn các trang web mà bạn muốn bảo vệ.
  3. Bấm đúp vào các Hồi đáp HTTP Headersbiểu tượng trong danh sách tính năng ở giữa.
  4. Trong hành động ngăn bên phải, nhấpThêm.
  5. Trong hộp thoại xuất hiện, gõ Tùy chọn X-Frame trong các Tên lĩnh vực và kiểu SAMEORIGIN trong các Giá trị lĩnh vực.
  6. Nhấp vào Ok để lưu các thay đổi.

Nếu bạn có các trang web khác mà cần cấu hình này, lặp lại bước 2 thông qua 6 cho các trang web đó cũng.

Sự thay đổi này sẽ ngăn chặn các trang HTML vào các tên miền khác lưu trữ trang web của bạn trong một khung nội tuyến. Ví dụ, nếu Contoso nó vùng áp dụng thay đổi này cho http://contoso.com, trang tại http://fabrikam.com sẽ không còn có thể để hiển thị nội dung từ http://contoso.com trong một khung nội tuyến.

Bạn có thể sửa đổi giá trị của tiêu đề X-khung-tùy chọn để cho phép http://fabrikam.com đến khung http://contoso.com trong khi chặn tất cả các tên miền khác. Để thực hiện việc này, thay đổi giá trị của tiêu đề X-khung-tùy chọn trong bước 5 để Cho phép từ http://fabrikam.com.

Để biết thêm chi tiết về các tiêu đề tùy chọn X-Frame, xembài đăng blog MSDN.

Trở lại sự thay đổi, hãy làm theo các bước sau:
  1. Mở bộ quản lý thông tin Internet Services (IIS).
  2. Trong cửa sổ các kết nối bên trái, mở rộng cácCác trang web thư mục, và chọn các trang web mà bạn đã thực hiện thay đổi này.
  3. Trong danh sách tính năng ở giữa, bấm đúp vào cácHồi đáp HTTP Headersbiểu tượng.
  4. Trong danh sách tiêu đề xuất hiện, chọn Tùy chọn X-Frame.
  5. Nhấp vào Loại bỏtrong ngăn bên phải hành động.




an ninh, framesniffing, x-khung-tùy chọn

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 2694329 - Xem lại Lần cuối: 03/24/2012 20:39:00 - Bản sửa đổi: 1.0

Microsoft Office SharePoint Server 2007, Microsoft SharePoint Foundation 2010, Microsoft SharePoint Server 2010, Microsoft Windows SharePoint Services 3.0

  • kbmt KB2694329 KbMtvi
Phản hồi
if?">