HTTP antraštės yra metaduomenų tipas, siunčiamas su žiniatinklio užklausomis ir atsakymais, jų pateikiama informacija gali būti svarbi arba tiesiog informacinė. Saugos antraštės yra „atsakymų antraščių“, kurias gali nustatyti žiniatinklio serveris, poaibis. Tai viena iš funkcijų, galinčių padėti išspręsti daugybę saugos problemų. Viena iš saugos antraščių, vadinama „X-Frame-Options“, skirta užkirsti kelią paspaudimų užgrobimo atakoms.
Paspaudimų išjungimas
Paspaudimų užgrobimas, taip pat žinomas kaip „Vartotojo sąsajos taisymas“, yra problema, kai užpuolikas gali priversti vartotoją spustelėti kažką, kas nėra tai, kas atrodo esanti. Svetainėms tai daroma permatomą perdengiant skaidrią svetainę. Tokio tipo atakos metu vartotojas mano, kad sąveikauja su matoma svetaine, tačiau iš tikrųjų jie nesąmoningai paveikia skaidrią svetainę.
Pavyzdžiui, užpuolikas gali sukurti svetainę, kurioje tikėtina, kad vartotojas spustelėja mygtuką, galbūt vaizdo įrašo paleidimo mygtuką. Skaidriame sluoksnyje virš to tinklalapio viršaus yra antrasis tinklalapis, pvz., tinklalapis, skirtas ištrinti „Facebook“ paskyrą su mygtuku „Ištrinti paskyrą“, esantį tiesiai virš paleidimo mygtuko. Pagal šį scenarijų, kai vartotojas bando spustelėti paleisti, jis iš tikrųjų spusteli mygtuką, kad ištrintų savo „Facebook“ paskyrą.
Paspaudimų užgrobimas priklauso nuo galimybės rodyti tikslinę svetainę fiktyvios svetainės viršuje, naudojant procesą, vadinamą „įrėmimu“. Kadruojant naudojamas HTML elementas „iframe“, kuris gali įkelti visą atskirą tinklalapį kitame puslapyje. Įkeldamas tikslinį tinklalapį į rėmelį, atsargiai jį pastatydamas ir paversdamas skaidriu, auka visiškai nesuvoks, kad yra apgaudinėjama atlikti veiksmą.
X-Frame-Options
HTTP atsako antraštė „X-Frame-Options“ yra pasirenkama funkcija, kurią galima nustatyti svetainėms serverio konfigūracijos failuose. „X-Frame-Options“ neleidžia tinklalapiams įkelti „iframe“, o tai neleidžia jiems perdengti kitos svetainės. Aukos naršyklė iš tikrųjų taiko saugos kontrolę, nes visos naršyklės laikosi X-Frame-Options antraštės ir atsisako įkelti bet kokius tinklalapius, kurių antraštė nustatyta rėmelyje.
Antraštė leidžia svetainės savininkui sukonfigūruoti, kaip šis nustatymas yra ribojamas. Yra du nustatymai: „X-Frame-Options: DENY“ apsaugo, kad apsaugotas tinklalapis niekada nebūtų įrėmintas. Kita parinktis „X-Frame-Options: SAMEORIGIN“ leidžia įrėminti apsaugotus tinklalapius tik tuo atveju, jei puslapis, kuriame įkeliamas rėmelis, turi tą patį domeno pavadinimą. Tokiu atveju galite įkelti rėmelį į savo svetainę, bet niekas kitas negali jo įkelti į savo svetainę.