Перейти до основного
Office

Відійти framesniffing із заголовком X параметри кадрів

Примітка.: Ми хочемо надавати найновіший вміст довідки рідною мовою користувачів якомога швидше. Цю сторінку перекладено за допомогою засобу автоматичного перекладу, тому вона може містити смислові, синтаксичні або граматичні помилки. Ми вважаємо, що цей вміст стане вам у пригоді. Повідомте нас, чи була інформація корисною, унизу цієї сторінки. Для зручності цю статтю можна переглянути англійською мовою.

Підсумок

Framesniffing — це атак, користується переглядачі викрасти дані з веб-сайту. Веб-застосунки, що дають змогу їх утримання повинні бути розміщені в між доменами IFRAME може бути вразливим для цього атак.

Адміністратори можуть зменшення framesniffing за допомогою настроювання IIS для надсилання HTTP відповідь заголовок, який забороняє бути розміщені в між доменами IFRAME вмісту.

Додаткові відомості

Параметри X кадру заголовок може використовуватися для керування чи сторінки можуть бути розміщені в IFRAME. Оскільки Framesniffing метод залежить від того, щоб розмістити жертвою сайту у ВІКНІ, веб-застосунку можна захистити себе, надсилаючи заголовка відповідні параметри X кадру.

Щоб настроїти IIS додавання заголовка X параметри кадру всі відповіді для вказаного сайту, виконайте такі дії:

  1. Запустіть Internet диспетчера інформаційних служб (Інтернету IIS).

  2. В області підключення ліворуч розгорніть папку сайти і виберіть сайт, який потрібно захистити.

  3. Двічі клацніть піктограму відповідь HTTP заголовків зі списку функція посередині.

  4. В області дії праворуч натисніть кнопку Додати.

  5. У діалоговому вікні, що відобразиться введіть X параметри кадру в поле ім'я та введіть SAMEORIGIN в полі значення.

  6. Натисніть кнопку ОК, щоб зберегти внесені зміни.


Якщо у вас є інші сайти, які потрібно цій конфігурації, повторіть кроки 2 – 6 для цих сайтів також.

Ця зміна буде запобігти розміщення сайту у ВІКНІ HTML-сторінок на інших доменів. Наприклад, якщо Contoso ІТ-відділу Ця зміна стосується http://contoso.com, сторінок на http://fabrikam.com більше не вдасться для відображення вмісту з http://contoso.com у ВІКНІ.

Ви можете змінити значення X параметри кадру заголовок, щоб дозволити http://fabrikam.com до рамки http://contoso.com під час блокування всіх інших доменів. Для цього змініть значення X параметри кадру заголовка на кроці 5 на тип даних із http://fabrikam.com.

Докладніше про заголовку X параметри кадру відображається цьому блозі MSDN.

Щоб скасувати зміни, виконайте такі дії:

  1. Запустіть Internet диспетчера інформаційних служб (Інтернету IIS).

  2. В області зв'язки з лівого боку розгорніть папку сайти і виберіть сайт, де цю зміну.

  3. Зі списку функція посередині двічі клацніть піктограму відповідь HTTP заголовків.

  4. У списку заголовків, що з'явиться виберіть пункт Параметри X кадру.

  5. Натисніть кнопку Видалити в області дії праворуч.

Удосконалення навичок роботи з Office
Ознайомтеся з навчальними матеріалами
Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×