Hvað gerir X-Frame-Options?

HTTP hausar eru tegund lýsigagna sem send eru með vefbeiðnum og svörum, upplýsingarnar sem þeir veita geta verið mikilvægar eða einfaldlega verið upplýsingar. Öryggishausar eru undirmengi „viðbragðshausa“ sem hægt er að stilla af vefþjóninum, þeir eru einn af eiginleikum sem geta hjálpað til við að takast á við fjölda öryggisvandamála. Einn af öryggishausunum, kallaður „X-Frame-Options“, er hannaður til að koma í veg fyrir árásir með smelli.

Click-Jacking

Click-jacking, einnig þekkt sem „User Interface Redressing“, er vandamál þar sem árásarmaður getur blekkt notanda til að smella á eitthvað sem er ekki það sem það virðist vera. Fyrir vefsíður er þetta gert með því að leggja gagnsæja vefsíðu yfir sýnilegan vef. Í þessari tegund af árás heldur notandinn að þeir séu í samskiptum við sýnilega vefsíðuna en í raun og veru hafa þeir óafvitandi áhrif á gagnsæja vefsíðuna.

Til dæmis gæti árásarmaður sett upp vefsíðu sem gerir það líklegt að notandi smelli á hnapp, kannski spilunarhnapp fyrir myndband. Í gagnsæju lagi ofan á þeirri vefsíðu er önnur vefsíða, eins og vefsíðan til að eyða Facebook reikningnum þínum með „Eyða reikningi“ hnappinum beint fyrir ofan spilunarhnappinn. Í þessari atburðarás þegar notandinn reynir að smella á spilun, þá smellir hann í raun á hnappinn til að eyða Facebook reikningnum sínum.

Click-jacking byggir á getu til að birta markvefsíðuna efst á dummy vefsíðunni, í gegnum ferli sem kallast „Framing“. Rammgerð notar HTML þáttinn „iframe“ sem getur hlaðið heila aðskilda vefsíðu á annarri síðu. Með því að hlaða marksíðunni í ramma, staðsetja hana vandlega og gera hana gagnsæja, verður fórnarlambið algjörlega ómeðvitað um að verið sé að blekkja hann til að framkvæma aðgerð.

X-Frame-Options

HTTP svarhausinn „X-Frame-Options“ er valfrjáls eiginleiki sem hægt er að stilla fyrir vefsíður í stillingarskrám þjónsins. X-Frame-Options kemur í veg fyrir að vefsíður séu hlaðnar í iframes, sem kemur í veg fyrir að þær séu lagðar yfir aðra vefsíðu. Vafrinn fórnarlambsins beitir í raun öryggisstýringunni, þetta er vegna þess að allir vafrar virða X-Frame-Options hausinn og neita að hlaða neinum vefsíðum með hausinn settan í ramma.

Hausinn gerir vefsíðueiganda kleift að stilla hversu takmarkandi stillingin er. Það eru tvær stillingar: „X-Frame-Options: DENY“ kemur í veg fyrir að vernduð vefsíða sé nokkurn tímann rammuð. Hinn valkosturinn, „X-Frame-Options: SAMEORIGIN“, gerir kleift að ramma inn verndaðar vefsíður, aðeins ef síðan sem hleður rammanum hefur sama lén. Í þessu tilviki geturðu hlaðið ramma á þína eigin vefsíðu en enginn annar getur hlaðið honum inn á sína.