Шта раде Кс-Фраме-Оптионс?

ХТТП заглавља су врста метаподатака послатих са веб захтевима и одговорима, а информације које пружају могу бити важне или једноставно информативне. Безбедносна заглавља су подскуп „заглавља одговора“ које може да подеси веб сервер, они су једна од функција које могу помоћи у решавању бројних безбедносних проблема. Једно од безбедносних заглавља, названо „Кс-Фраме-Оптионс“ је дизајнирано да спречи нападе „клик-јацкинг“.

Цлицк-Јацкинг

Уклањање кликова, такође познато као „поправљање корисничког интерфејса“, је проблем где нападач може да превари корисника да кликне на нешто што није оно што изгледа. За веб локације, ово се ради преклапањем транспарентне веб странице преко видљиве. У овој врсти напада корисник мисли да је у интеракцији са видљивом веб локацијом, али у стварности несвесно утиче на транспарентну веб локацију.

На пример, нападач би могао да подеси веб локацију на којој постоји вероватноћа да корисник кликне на дугме, можда дугме за репродукцију видео записа. У провидном слоју на врху те веб странице налази се друга веб страница, као што је веб страница за брисање вашег Фацебоок налога са дугметом „Избриши налог“ које се налази директно изнад дугмета за репродукцију. У овом сценарију, када корисник покуша да кликне на плаи, он заправо кликне на дугме да избрише свој Фацебоок налог.

Уклањање кликова се ослања на могућност да се циљна веб локација прикаже на врху лажне веб локације, кроз процес који се зове „Уоквиривање“. Уоквиривање користи ХТМЛ елемент „ифраме“ који може да учита целу засебну веб страницу унутар друге странице. Учитавањем циљне веб странице у оквир, пажљивим позиционирањем и претварањем транспарентне, жртва ће бити потпуно несвесна да је преварена да изврши радњу.

Кс-Фраме-Опције

ХТТП заглавље одговора „Кс-Фраме-Оптионс“ је опциона функција која се може подесити за веб локације у конфигурационим датотекама сервера. Кс-Фраме-Оптионс спречава учитавање веб страница у ифраме-овима, што спречава њихово преклапање преко друге веб странице. Прегледач жртве заправо примењује контролу безбедности, то је зато што сви претраживачи поштују заглавље Кс-Фраме-Оптионс и одбијаће да учитају било коју веб страницу са заглављем постављеним у оквиру.

Заглавље омогућава власнику веб локације да конфигурише колико је ово подешавање рестриктивно. Постоје две поставке: „Кс-Фраме-Оптионс: ДЕНИ“ спречава да се заштићена веб страница икада уоквири. Друга опција, „Кс-Фраме-Оптионс: САМЕОРИГИН“, дозвољава да се заштићене веб странице уоквире, само ако страница која учитава оквир има исто име домена. У овом случају, можете да учитате оквир на своју веб локацију, али нико други не може да га учита на своју.