Framesniffing beperken met de X-frame-opties-kop

Opmerking: We willen u graag zo snel mogelijk de meest recente Help-inhoud in uw eigen taal bieden. Deze pagina is automatisch vertaald en kan grammaticale fouten of onnauwkeurigheden bevatten. Wij hopen dat deze inhoud nuttig voor u is. Kunt u ons onder aan deze pagina laten weten of de informatie nuttig voor u was? Hier is het Engelstalige artikel ter referentie.

Samenvatting

Framesniffing is een aanvals techniek die gebruikmaakt van browser functionaliteit om gegevens van een website te stelen. Webtoepassingen die toestaan dat hun inhoud wordt gehost in een ander domein-IFRAME, kunnen kwetsbaar zijn voor deze aanval.

Beheerders kunnen framesniffing beperken door IIS te configureren voor het verzenden van een HTTP-antwoord header waarmee wordt voor komen dat inhoud wordt gehost in een kruis domein-IFRAME.

Meer informatie

De kop X-frame-opties kan worden gebruikt om te bepalen of een pagina in een IFRAME kan worden geplaatst. Omdat de Framesniffing-techniek de slacht offer-site in een IFRAME kan plaatsen, kan een webtoepassing zichzelf beveiligen door een toepasselijke X-frame-opties-kop te verzenden.

Voer de volgende stappen uit om IIS zodanig te configureren dat de koptekst van een X-frame-opties wordt toegevoegd aan alle antwoorden voor een bepaalde site:

  1. Open beheer van Internet Information Services (IIS).

  2. Vouw in het deel venster verbindingen aan de linkerkant de map sites uit en selecteer de site die u wilt beveiligen.

  3. Dubbel klik op het pictogram met de HTTP-antwoord headers in de lijst met functies in het midden.

  4. Klik in het deel venster acties aan de rechter kant op toevoegen.

  5. Typ in het dialoog venster dat wordt weer gegeven de opties X-frame-Options in het veld name en typ SAMEORIGIN in het veld Value.

  6. Klik op OK om de wijzigingen op te slaan.


Als u andere sites hebt die deze configuratie nodig hebben, herhaalt u de stappen 2 tot en met 6 ook voor die sites.

Met deze wijziging wordt voor komen dat HTML-pagina's in andere domeinen als host optreden voor uw site in een IFRAME. Als de IT-afdeling van Contoso bijvoorbeeld deze wijziging toepast op http://contoso.com, kunnen pagina's op http://fabrikam.com geen inhoud meer weer geven uit http://contoso.com in een IFRAME.

U kunt de waarde van de kop X-frame-opties wijzigen om http://fabrikam.com toe te staan de frame http://contoso.com in te stellen terwijl alle andere domeinen worden geblokkeerd. Als u dit wilt doen, wijzigt u de waarde in de koptekst van de X-frame-opties in stap 5 om-van http://fabrikam.com toe te staan.

Zie deze MSDN blog postvoor meer informatie over de kop X-frame-opties.

Ga als volgt te werk om de wijziging ongedaan te maken:

  1. Open beheer van Internet Information Services (IIS).

  2. Vouw in het deel venster verbindingen aan de linkerkant de map sites uit en selecteer de site waar u deze wijziging hebt aangebracht.

  3. Dubbel klik in de lijst met functies in het midden op het pictogram HTTP-antwoord headers.

  4. Selecteer in de lijst met kopteksten die wordt weer gegeven de optie X-frame-opties.

  5. Klik op verwijderen in het deel venster acties aan de rechter kant.

Uw Office-vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Office Insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×