附註: 我們想要以您的語言,用最快的速度為您提供最新的說明內容。本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。此為英文文章出處,以供參考。
摘要
Framesniffing 是攻擊技術利用瀏覽器功能將會竊取從網站的資料。允許其內容會裝載於跨網域 IFRAME 的 web 應用程式可能會受到此攻擊。
系統管理員可以降低 framesniffing 設定 IIS 傳送阻礙內容中跨網域 IFRAME 裝載 HTTP 回應標頭。
其他資訊
X 框架選項頁首可控制是否可 IFRAME 置於頁面。也可以將受害者網站中的 IFRAME 依賴 Framesniffing 技巧,因為 web 應用程式可以保護本身傳送適當的 X 框架選項標頭。
若要設定 IIS,將 X 框架選項標題新增至指定網站的所有回覆,請遵循下列步驟:
-
開啟網際網路資訊服務 (IIS) 管理員。
-
在左側的 [連線] 窗格中,展開 [網站] 資料夾,選取您要保護的網站。
-
按兩下中間的 [功能] 清單中的 [HTTP 回應標頭] 圖示。
-
在右側的 [動作] 窗格中按一下 [新增]。
-
在出現的對話方塊中,在 [名稱] 欄位中輸入 X 框架選項,再輸入 SAMEORIGIN 值欄位中。
-
按一下 [確定] 儲存變更。
如果您有其他需要此設定的網站,請也針對這些網站重複步驟 2 到 6。
這項變更會裝載您的網站中的 IFRAME 防止其他網域上的 HTML 頁面。比方說,如果 Contoso IT 部門適用於 http://contoso.com 這項變更,http://fabrikam.com 在將不再顯示 http://contoso.com 的內容中的 IFRAME。
您可以修改允許至時封鎖所有其他網域框架 http://contoso.com http://fabrikam.com X 框架選項標題的值。若要這麼做,請變更允許從 http://fabrikam.com X 框架選項標題在步驟 5 中的值。
如需有關 X 框架選項標頭的詳細資訊,請參閱此 MSDN 部落格文章。
若要還原的變更,請遵循下列步驟:
-
開啟網際網路資訊服務 (IIS) 管理員。
-
在左側的 [連線] 窗格中,展開 [網站] 資料夾中,並選取您所做變更的網站。
-
在 [中間的 [功能] 清單中,按兩下 [HTTP 回應標頭] 圖示。
-
在出現的標題清單,選取 X 框架選項。
-
在右側的 [動作] 窗格中按一下 [移除]。
