您目前已離線,請等候您的網際網路重新連線

緩和 x 框架選項標頭包含進來的 framesniffing

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:2694329
結論
Framesniffing 是一種攻擊技巧,是利用竊取資料從某個網站的瀏覽器功能。允許裝載在跨網域 IFRAME 其內容的 web 應用程式可能遭受此攻擊。

系統管理員可以將 IIS 設定成傳送 HTTP 回應標頭,以致於無法在跨網域 IFRAME 裝載內容,以降低 framesniffing。
其他相關資訊
[ X 框架選項標頭可用來控制是否 IFRAME 可置於頁面。因為 Framesniffing 技術會依賴能夠將受害站台放入 IFRAME,web 應用程式能夠保護自己傳送給適當的 x 框架選項標頭。

若要將 IIS 設定為將在 x 框架選項標頭加入至指定站台中的所有回應,請依照下列步驟執行:
  1. 開啟 [網際網路資訊服務 (IIS) 管理員]。
  2. 在左邊的 [連線] 窗格中,展開站台 資料夾,選取您想要保護的網站。
  3. 連按兩下 HTTP 回應標頭在 [功能清單中,在中間的圖示。
  4. 在右邊顯示 [動作] 窗格中,按一下新增.
  5. 在出現的對話方塊中,輸入 X 框架選項名稱 欄位,然後鍵入 SAMEORIGIN欄位。
  6. 按一下 [確定] 若要儲存您的變更。

如果您有其他需要此設定的網站,重複步驟 2 到 6 這些網站也。

這項變更將導致無法裝載於 [IFRAME 的其他網域上的 HTML 網頁。比方說,如果 contoso 公司的 IT 部門會將這項變更套用至 http://contoso.com,http://fabrikam.com 的網頁將不再能夠在 IFRAME 顯示從 http://contoso.com 的內容。

您可以修改 x 框架選項標頭,以允許來框住時封鎖所有其他網域的 http://contoso.com http://fabrikam.com 的值。若要執行這項操作,將在步驟 5 到 x 框架選項標頭的值變更 允許從 http://fabrikam.com.

如需有關 x 框架選項標頭的詳細資訊,請參閱這個 MSDN 部落格文章.

若要回復變更,請依照下列步驟執行:
  1. 開啟 [網際網路資訊服務 (IIS) 管理員]。
  2. 在左邊的 [連線] 窗格中,展開站台 資料夾,然後選取站台進行這項變更的位置。
  3. 在中間的 [功能] 清單中,連按兩下HTTP 回應標頭圖示。
  4. 在出現的標頭清單中選取 X 框架選項.
  5. 按一下 移除在 [動作] 窗格的右邊顯示。




安全性、 framesniffing、 x 框架選項

警告:本文為自動翻譯

內容

文章識別碼:2694329 - 最後檢閱時間:03/24/2012 20:39:00 - 修訂: 1.0

Microsoft Office SharePoint Server 2007, Microsoft SharePoint Foundation 2010, Microsoft SharePoint Server 2010, Microsoft Windows SharePoint Services 3.0

  • kbmt KB2694329 KbMtzh
意見反應