你目前正处于脱机状态,正在等待 Internet 重新连接

降低与 X-框架选项标头的 framesniffing

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 2694329
概要
Framesniffing 是一种攻击技术,利用窃取数据从一个网站的浏览器功能。允许在跨域 IFRAME 中承载其内容的 web 应用程序可能易受此攻击。

管理员可以通过配置 IIS 以发送 HTTP 响应标头,可防止内容被承载在跨域 IFRAME 减轻 framesniffing。
更多信息
" X-框架选项标头可用于控制是否可以将网页放在 IFRAME。由于能够将受害站点放在 IFRAME 依赖的 Framesniffing 技术,web 应用程序可以通过发送相应的选项-X-框架标题来保护自己。

要配置 IIS 将 X-框架选项标头添加到给定站点的所有响应,请执行以下步骤:
  1. 打开 Internet Information Services (IIS) 管理器。
  2. 在左侧的连接窗格中,展开站点 文件夹,然后选择您想要保护的网站。
  3. 双击 HTTP 响应标头在中间的功能列表中的图标。
  4. 在操作窗格的右侧,单击添加.
  5. 在出现的对话框中,键入 X-框架选项 在中 名称 域并键入 SAMEORIGIN 在中 字段。
  6. 单击 确定 若要保存所做的更改。

如果您需要此配置的其他站点,还为这些站点重复步骤 2 到 6。

此更改将会阻止其他域上的 HTML 页主持 IFRAME 在您的站点。例如,Contoso IT 部门将此更改应用到 http://contoso.com,如果 http://fabrikam.com 处的页将不能再显示 IFRAME http://contoso.com 中的内容。

您可以修改以允许同时阻止所有其他域中帧 http://contoso.com 的 http://fabrikam.com X-框架选项标头的值。要执行此操作,更改到第 5 步中的 X-框架选项标头的值 允许从 http://fabrikam.com.

X-框架选项标头的详细信息,请参阅此 MSDN 博客张贴内容.

若要还原更改,请执行以下步骤:
  1. 打开 Internet Information Services (IIS) 管理器。
  2. 在左侧的连接窗格中,展开站点 文件夹,并选择您所做更改的站点。
  3. 在中间的功能列表中,双击HTTP 响应标头图标。
  4. 在显示的标题的列表中选择 X-框架选项.
  5. 单击 删除在操作窗格的右侧。




安全、 framesniffing、 x-框架选项

警告:本文已自动翻译

属性

文章 ID:2694329 - 上次审阅时间:03/24/2012 20:39:00 - 修订版本: 1.0

Microsoft Office SharePoint Server 2007, Microsoft SharePoint Foundation 2010, Microsoft SharePoint Server 2010, Microsoft Windows SharePoint Services 3.0

  • kbmt KB2694329 KbMtzh
反馈