减少 framesniffing 与 X 帧选项头

注意: 我们希望能够尽快以你的语言为你提供最新的帮助内容。本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗?请在此处查看本文的英文版本以便参考。

摘要

Framesniffing 是一种利用浏览器功能从网站中窃取数据的攻击技术。允许在跨域 IFRAME 中托管其内容的 Web 应用程序可能易受此攻击。

管理员可以通过将 IIS 配置为发送 HTTP 响应头来缓解 framesniffing, 以防止在跨域 IFRAME 中托管内容。

更多信息

X 帧选项标头可用于控制页面是否可以放置在 IFRAME 中。由于 Framesniffing 技术依赖于能够将牺牲品网站放置在 IFRAME 中, 因此 web 应用程序可以通过发送适当的 X 帧选项头来自行保护。

若要配置 IIS 以将 X 帧选项标头添加到给定网站的所有响应, 请按照下列步骤操作:

  1. 打开 Internet 信息服务 (IIS) 管理器。

  2. 在左侧的 "连接" 窗格中, 展开 "网站" 文件夹, 然后选择要保护的网站。

  3. 在中间的功能列表中双击 "HTTP 响应标题" 图标。

  4. 在右侧的 "操作" 窗格中, 单击 "添加"。

  5. 在出现的对话框中, 在 "名称" 字段中键入 "X 帧-选项", 然后在 "值" 字段中键入 "SAMEORIGIN"。

  6. 单击“确定”保存所做的更改。


如果您有其他需要此配置的网站, 请为这些网站重复步骤2到步骤6。

此更改将阻止其他域中的 HTML 页在 IFRAME 中托管你的网站。例如, 如果 Contoso IT 部门将此更改应用于 http://contoso.com, 则 http://fabrikam.com 中的页面将无法再在 IFRAME 中显示 http://contoso.com 中的内容。

你可以修改 X 帧选项头的值, 以允许 http://fabrikam.com 在阻止所有其他域的同时 http://contoso.com 帧。若要执行此操作, 请将步骤5中的 X 帧选项标头的值更改为 "允许 http://fabrikam.com"。

有关 X 帧选项页眉的详细信息, 请参阅此 MSDN 博客文章

若要还原更改, 请按照下列步骤操作:

  1. 打开 Internet 信息服务 (IIS) 管理器。

  2. 在左侧的 "连接" 窗格中, 展开 "网站" 文件夹, 然后选择您进行此更改的网站。

  3. 在中间的功能列表中, 双击 "HTTP 响应标题" 图标。

  4. 在出现的标题列表中, 选择 "X 帧-选项"。

  5. 在右侧的 "操作" 窗格中单击 "删除"。

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×