Home » » Hva gjør X-Frame-Options?

Hva gjør X-Frame-Options?

HTTP-hoder er en type metadata som sendes med nettforespørsler og svar, informasjonen de gir kan være viktig eller rett og slett være informativ. Sikkerhetshoder er en undergruppe av "Responshodene" som kan settes av webserveren, de er en av funksjonene som kan hjelpe med å løse en rekke sikkerhetsproblemer. En av sikkerhetsoverskriftene, kalt «X-Frame-Options», er utformet for å forhindre click-jacking-angrep.

Click-Jacking

Click-jacking, også kjent som "User Interface Redressing", er et problem der en angriper er i stand til å lure en bruker til å klikke på noe som ikke er hva det ser ut til å være. For nettsider gjøres dette ved å legge en transparent nettside over en synlig. I denne typen angrep tror brukeren at de samhandler med den synlige nettsiden, men i virkeligheten påvirker de uforvarende det gjennomsiktige nettstedet.

En angriper kan for eksempel sette opp et nettsted som gjør det sannsynlig at en bruker klikker på en knapp, kanskje en avspillingsknapp for en video. I et gjennomsiktig lag over toppen av den nettsiden er en andre nettside, for eksempel nettsiden for å slette Facebook-kontoen din med "Slett konto"-knappen plassert rett over avspillingsknappen. I dette scenariet når brukeren prøver å klikke på spill, klikker de faktisk på knappen for å slette Facebook-kontoen sin.

Click-jacking er avhengig av muligheten til å vise målnettstedet over toppen av dummy-nettstedet, gjennom en prosess kalt "Framing". Framing bruker HTML-elementet "iframe" som kan laste en hel separat nettside på en annen side. Ved å laste inn målnettsiden i en ramme, plassere den forsiktig og gjøre den gjennomsiktig, vil offeret være fullstendig uvitende om at de blir lurt til å utføre en handling.

X-Frame-alternativer

HTTP-svarhodet "X-Frame-Options" er en valgfri funksjon som kan angis for nettsteder i serverkonfigurasjonsfilene. X-Frame-Options forhindrer nettsider fra å lastes inn i iframes, noe som forhindrer at de blir lagt over et annet nettsted. Offerets nettleser bruker faktisk sikkerhetskontrollen, dette er fordi alle nettlesere respekterer X-Frame-Options-overskriften og vil nekte å laste inn nettsider med overskriften satt i en ramme.

Overskriften lar nettstedeieren konfigurere hvor restriktiv innstillingen er. Det er to innstillinger: "X-Frame-Options: DENY" forhindrer at en beskyttet nettside noensinne blir innrammet. Det andre alternativet, "X-Frame-Options: SAMEORIGIN", lar beskyttede nettsider rammes inn, bare hvis siden som laster inn rammen har samme domenenavn. I dette tilfellet kan du laste en ramme på din egen nettside, men ingen andre kan laste den inn på deres.


Leave a Comment

Rask Tips: Hvordan Se Kjøpshistorikken din på Google Play

Rask Tips: Hvordan Se Kjøpshistorikken din på Google Play

Se vår Google Play Kjøpshistorikk ved å følge disse nybegynnervennlige trinnene for å holde apputgiftene dine under kontroll.

Zoom: Hvordan legge til et videofilter

Zoom: Hvordan legge til et videofilter

Ha det moro i Zoom-møtene dine med noen morsomme filtre du kan prøve. Legg til en glorie eller se ut som en enhjørning i Zoom-møtene dine med disse morsomme filtrene.

Hvordan fremheve tekst i Google Slides

Hvordan fremheve tekst i Google Slides

Lær hvordan du fremhever tekst med farge i Google Slides-appen med denne trinn-for-trinn-veiledningen for mobil og datamaskin.

Samsung Galaxy Z Fold 5: Hvordan koble til PC

Samsung Galaxy Z Fold 5: Hvordan koble til PC

Samsung Galaxy Z Fold 5, med sitt innovative foldbare design og banebrytende teknologi, tilbyr ulike måter å koble til en PC. Enten du ønsker

Hvordan ta et skjermbilde på Galaxy Z Fold 5

Hvordan ta et skjermbilde på Galaxy Z Fold 5

Du har kanskje ikke alltid tenkt over det, men en av de mest utbredte funksjonene på en smarttelefon er muligheten til å ta et skjermbilde. Over tid har metode for å ta skjermbilder utviklet seg av ulike grunner, enten ved tillegg eller fjerning av fysiske knapper eller innføring av nye programvarefunksjoner.

Legg til en ny WhatsApp-kontakt ved å bruke en tilpasset QR-kode

Legg til en ny WhatsApp-kontakt ved å bruke en tilpasset QR-kode

Se hvor enkelt det er å legge til en ny WhatsApp-kontakt ved hjelp av din tilpassede QR-kode for å spare tid og lagre kontakter som en proff.

Viktige hurtigtaster for Microsoft PowerPoint

Viktige hurtigtaster for Microsoft PowerPoint

Lær å forkorte tiden du bruker på PowerPoint-filer ved å lære disse viktige hurtigtastene for PowerPoint.

Eksportere Kontakter fra Outlook og Importere til Gmail

Eksportere Kontakter fra Outlook og Importere til Gmail

Bruk Gmail som en sikkerhetskopi for personlig eller profesjonell Outlook-e-post? Lær hvordan du eksporterer kontakter fra Outlook til Gmail for å sikkerhetskopiere kontakter.

Hvordan slette bilder og videoer fra Facebook

Hvordan slette bilder og videoer fra Facebook

Denne guiden viser deg hvordan du sletter bilder og videoer fra Facebook ved hjelp av PC, Android eller iOS-enhet.

Facebook: Hvordan skjule gruppeinnlegg fra nyhetsfeeden

Facebook: Hvordan skjule gruppeinnlegg fra nyhetsfeeden

For å slutte å se innlegg fra Facebook-grupper, gå til den gruppens side, og klikk på Flere alternativer. Velg deretter Følg ikke lenger gruppe.