Mitigação de framesniffing com o cabeçalho de opções de X-frame

Observação: Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Resumo

Framesniffing é uma técnica de ataque que tira proveito da funcionalidade do navegador para roubar dados de um site. Os aplicativos Web que permitem que o conteúdo seja hospedado em um IFRAME entre domínios podem ser vulneráveis a esse ataque.

Os administradores podem mitigar o framesniffing Configurando o IIS para enviar um cabeçalho de resposta HTTP que impede que o conteúdo seja hospedado em um IFRAME entre domínios.

Mais informações

O cabeçalho X-Frame-Options pode ser usado para controlar se uma página pode ser colocada em um iframe. Como a técnica Framesniffing depende da capacidade de colocar o site vítima em um IFRAME, um aplicativo Web pode se proteger enviando um cabeçalho de opções de quadro X apropriado.

Para configurar o IIS para adicionar um cabeçalho X-Frame-Options a todas as respostas de um site específico, siga estas etapas:

  1. Abra o Gerenciador dos serviços de informações da Internet (IIS).

  2. No painel conexões no lado esquerdo, expanda a pasta sites e selecione o site que você deseja proteger.

  3. Clique duas vezes no ícone de cabeçalhos de resposta HTTP na lista de recursos no meio.

  4. No painel Ações no lado direito, clique em Adicionar.

  5. Na caixa de diálogo exibida, digite opções de X-frame no campo nome e digite SAMEORIGIN no campo valor.

  6. Clique em OK para salvar as alterações.


Se você tiver outros sites que precisam dessa configuração, repita as etapas 2 a 6 para esses sites também.

Essa alteração impedirá que páginas HTML em outros domínios hospedem seu site em um IFRAME. Por exemplo, se o departamento de ti da Contoso aplicar essa alteração ao http://contoso.com, as páginas em http://fabrikam.com não serão capazes de exibir conteúdo de http://contoso.com em um IFRAME.

Você pode modificar o valor do cabeçalho X-Frame-Options para permitir que o http://fabrikam.com do quadro http://contoso.com ao bloquear todos os outros domínios. Para fazer isso, altere o valor do cabeçalho X-Frame-Options na etapa 5 para permitir-de http://fabrikam.com.

Para obter mais informações sobre o cabeçalho X-Frame-Options, consulte esta postagem de blog do MSDN.

Para reverter a alteração, siga estas etapas:

  1. Abra o Gerenciador dos serviços de informações da Internet (IIS).

  2. No painel conexões no lado esquerdo, expanda a pasta sites e selecione o site em que você fez essa alteração.

  3. Na lista de recursos no meio, clique duas vezes no ícone de cabeçalhos de resposta HTTP.

  4. Na lista de cabeçalhos exibida, selecione X-Frame-Options.

  5. Clique em remover no painel Ações no lado direito.

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×