減輕 framesniffing X 框架選項標頭

附註: 我們想要以您的語言,用最快的速度為您提供最新的說明內容。本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。此為英文文章出處,以供參考。

摘要

Framesniffing 是攻擊技術利用瀏覽器功能將會竊取從網站的資料。允許其內容會裝載於跨網域 IFRAME 的 web 應用程式可能會受到此攻擊。

系統管理員可以降低 framesniffing 設定 IIS 傳送阻礙內容中跨網域 IFRAME 裝載 HTTP 回應標頭。

其他資訊

X 框架選項頁首可控制是否可 IFRAME 置於頁面。也可以將受害者網站中的 IFRAME 依賴 Framesniffing 技巧,因為 web 應用程式可以保護本身傳送適當的 X 框架選項標頭。

若要設定 IIS,將 X 框架選項標題新增至指定網站的所有回覆,請遵循下列步驟:

  1. 開啟網際網路資訊服務 (IIS) 管理員。

  2. 在左側的 [連線] 窗格中,展開 [網站] 資料夾,選取您要保護的網站。

  3. 按兩下中間的 [功能] 清單中的 [HTTP 回應標頭] 圖示。

  4. 在右側的 [動作] 窗格中按一下 [新增]。

  5. 在出現的對話方塊中,在 [名稱] 欄位中輸入 X 框架選項,再輸入 SAMEORIGIN 值欄位中。

  6. 按一下 [確定] 儲存變更。


如果您有其他需要此設定的網站,請也針對這些網站重複步驟 2 到 6。

這項變更會裝載您的網站中的 IFRAME 防止其他網域上的 HTML 頁面。比方說,如果 Contoso IT 部門適用於 http://contoso.com 這項變更,http://fabrikam.com 在將不再顯示 http://contoso.com 的內容中的 IFRAME。

您可以修改允許至時封鎖所有其他網域框架 http://contoso.com http://fabrikam.com X 框架選項標題的值。若要這麼做,請變更允許從 http://fabrikam.com X 框架選項標題在步驟 5 中的值。

如需有關 X 框架選項標頭的詳細資訊,請參閱此 MSDN 部落格文章

若要還原的變更,請遵循下列步驟:

  1. 開啟網際網路資訊服務 (IIS) 管理員。

  2. 在左側的 [連線] 窗格中,展開 [網站] 資料夾中,並選取您所做變更的網站。

  3. 在 [中間的 [功能] 清單中,按兩下 [HTTP 回應標頭] 圖示。

  4. 在出現的標題清單,選取 X 框架選項。

  5. 在右側的 [動作] 窗格中按一下 [移除]。

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×