注意: 我们希望能够尽快以你的语言为你提供最新的帮助内容。本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗?请在此处查看本文的英文版本以便参考。
摘要
Framesniffing 是一种利用浏览器功能从网站中窃取数据的攻击技术。允许在跨域 IFRAME 中托管其内容的 Web 应用程序可能易受此攻击。
管理员可以通过将 IIS 配置为发送 HTTP 响应头来缓解 framesniffing, 以防止在跨域 IFRAME 中托管内容。
更多信息
X 帧选项标头可用于控制页面是否可以放置在 IFRAME 中。由于 Framesniffing 技术依赖于能够将牺牲品网站放置在 IFRAME 中, 因此 web 应用程序可以通过发送适当的 X 帧选项头来自行保护。
若要配置 IIS 以将 X 帧选项标头添加到给定网站的所有响应, 请按照下列步骤操作:
-
打开 Internet 信息服务 (IIS) 管理器。
-
在左侧的 "连接" 窗格中, 展开 "网站" 文件夹, 然后选择要保护的网站。
-
在中间的功能列表中双击 "HTTP 响应标题" 图标。
-
在右侧的 "操作" 窗格中, 单击 "添加"。
-
在出现的对话框中, 在 "名称" 字段中键入 "X 帧-选项", 然后在 "值" 字段中键入 "SAMEORIGIN"。
-
单击“确定”保存所做的更改。
如果您有其他需要此配置的网站, 请为这些网站重复步骤2到步骤6。
此更改将阻止其他域中的 HTML 页在 IFRAME 中托管你的网站。例如, 如果 Contoso IT 部门将此更改应用于 http://contoso.com, 则 http://fabrikam.com 中的页面将无法再在 IFRAME 中显示 http://contoso.com 中的内容。
你可以修改 X 帧选项头的值, 以允许 http://fabrikam.com 在阻止所有其他域的同时 http://contoso.com 帧。若要执行此操作, 请将步骤5中的 X 帧选项标头的值更改为 "允许 http://fabrikam.com"。
有关 X 帧选项页眉的详细信息, 请参阅此 MSDN 博客文章。
若要还原更改, 请按照下列步骤操作:
-
打开 Internet 信息服务 (IIS) 管理器。
-
在左侧的 "连接" 窗格中, 展开 "网站" 文件夹, 然后选择您进行此更改的网站。
-
在中间的功能列表中, 双击 "HTTP 响应标题" 图标。
-
在出现的标题列表中, 选择 "X 帧-选项"。
-
在右侧的 "操作" 窗格中单击 "删除"。