Office

Устранение фрамесниффинг с помощью заголовка X-Frame-Options

Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке).

Сводка

Фрамесниффинг — это способ атаки, который использует преимущества функций браузера для кражи данных с веб-сайта. Веб-приложения, которые позволяют размещать контент в междоменном IFRAME, могут быть подвержены этой атаке.

Администраторы могут уменьшить фрамесниффинг, настроив IIS на отправку HTTP-заголовка ответа, предотвращающего размещение содержимого в междоменном IFRAME.

Дополнительные сведения

Заголовок X-Frame-Options можно использовать для управления расположением страницы в окне IFRAME. Так как метод Фрамесниффинг полагается на возможность размещения сайта-жертвы в окне IFRAME, веб-приложение может защищать себя, отправив соответствующий заголовок X-Frame-Options.

Чтобы настроить IIS на добавление заголовка X-Frame-Options ко всем ответам для определенного сайта, выполните указанные ниже действия.

  1. Откройте диспетчер служб IIS.

  2. В левой части области соединения разверните папку сайты и выберите сайт, который вы хотите защитить.

  3. Дважды щелкните значок заголовки HTTP-ответа в списке компонентов в центре.

  4. На правой стороне панели действий нажмите кнопку Добавить.

  5. В появившемся диалоговом окне введите X-Frame-Options в поле Name (имя) и введите САМЕОРИГИН в поле Value (значение).

  6. Нажмите кнопку OK, чтобы сохранить изменения.


Если у вас есть другие сайты, для которых нужна эта конфигурация, повторите действия 2 – 6 для этих сайтов.

Это изменение не позволит HTML-страницам в других доменах размещать ваш сайт в Интернет-КАДРе. Например, если ИТ-отдел Contoso применяет это изменение к http://contoso.com, страницы на http://fabrikam.com больше не смогут отображать содержимое из http://contoso.com в Интернет-КАДРе.

Вы можете изменить значение заголовка X-Frame-Options, чтобы разрешить http://fabrikam.com кадру http://contoso.com при блокировании всех других доменов. Для этого измените значение заголовка X-Frame-Options в действии 5 на http://fabrikam.com.

Дополнительные сведения о заголовке X-Frame-Options см. в этой записи в блоге MSDN.

Чтобы отменить изменения, выполните указанные ниже действия.

  1. Откройте диспетчер служб IIS.

  2. На панели подключения в левой части экрана разверните папку сайты и выберите сайт, на который вы внесли это изменение.

  3. Дважды щелкните значок заголовки HTTP-ответа в списке компонентов.

  4. В появившемся списке заголовков выберите пункт X-Frame-Options (параметры).

  5. На правой стороне панели действий нажмите кнопку Удалить.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×