Čo robí X-Frame-Options?

Hlavičky HTTP sú typom metadát odosielaných s webovými požiadavkami a odpoveďami. Informácie, ktoré poskytujú, môžu byť dôležité alebo môžu byť jednoducho informačné. Bezpečnostné hlavičky sú podmnožinou „hlavičiek odpovedí“, ktoré môže nastaviť webový server, sú jednou z funkcií, ktoré môžu pomôcť vyriešiť množstvo bezpečnostných problémov. Jedna z bezpečnostných hlavičiek s názvom „X-Frame-Options“ je navrhnutá tak, aby zabránila útokom typu click-jacking.

Click-Jacking

Click-jacking, tiež známy ako „Oprava používateľského rozhrania“, je problém, pri ktorom je útočník schopný oklamať používateľa, aby klikol na niečo, čo nie je také, ako sa zdá. V prípade webových stránok sa to robí prekrytím priehľadnej webovej stránky cez viditeľnú. Pri tomto type útoku si používateľ myslí, že interaguje s viditeľnou webovou stránkou, ale v skutočnosti nevedomky ovplyvňuje transparentnú webovú stránku.

Útočník by napríklad mohol vytvoriť webovú stránku, na základe ktorej je pravdepodobné, že používateľ klikne na tlačidlo, možno na tlačidlo prehrávania videa. V priehľadnej vrstve v hornej časti tejto webovej stránky je druhá webová stránka, napríklad webová stránka na odstránenie vášho účtu Facebook pomocou tlačidla „Odstrániť účet“ umiestneného priamo nad tlačidlom prehrávania. V tomto scenári, keď sa používateľ pokúsi kliknúť na tlačidlo Prehrať, v skutočnosti klikne na tlačidlo, aby odstránil svoj účet na Facebooku.

Click-jacking sa spolieha na schopnosť zobraziť cieľovú webovú stránku v hornej časti falošnej webovej stránky prostredníctvom procesu nazývaného „rámovanie“. Rámovanie používa prvok HTML „iframe“, ktorý dokáže načítať celú samostatnú webovú stránku v rámci inej stránky. Načítaním cieľovej webovej stránky do rámca, jej starostlivým umiestnením a jej priehľadným obeť nebude vôbec vedieť, že je oklamaná, aby vykonala akciu.

X-Frame-Options

Hlavička odpovede HTTP „X-Frame-Options“ je voliteľná funkcia, ktorú je možné nastaviť pre webové lokality v konfiguračných súboroch servera. X-Frame-Options zabraňuje načítaniu webových stránok v prvkoch iframe, čo zabraňuje ich prekrytiu cez inú webovú stránku. Prehliadač obete v skutočnosti používa kontrolu zabezpečenia, pretože všetky prehliadače rešpektujú hlavičku X-Frame-Options a odmietnu načítať akékoľvek webové stránky s hlavičkou nastavenou v rámci.

Hlavička umožňuje vlastníkovi webovej lokality nakonfigurovať, ako reštriktívne je nastavenie. Existujú dve nastavenia: „X-Frame-Options: DENY“ bráni tomu, aby sa chránená webová stránka niekedy zarámovala. Druhá možnosť, „X-Frame-Options: SAMEORIGIN“, umožňuje zarámovať chránené webové stránky, iba ak má stránka načítavajúca rámec rovnaký názov domény. V tomto prípade môžete načítať rámec na svojej vlastnej webovej stránke, ale nikto iný ju nemôže načítať na svojej webovej stránke.