Abmilderung von Framesniffing mit dem X-Frame-Options-Header

Zusammenfassung

Framesniffing ist eine Angriffstechnik, die Browserfunktionen nutzt, um Daten von einer Website zu stehlen. Webanwendungen, die zulassen, dass ihre Inhalte in einem domänenübergreifenden IFRAME gehostet werden, sind möglicherweise anfällig für diesen Angriff.

Administratoren können Framesniffing mindern, indem sie IIS so konfigurieren, dass ein HTTP-Antwortheader gesendet wird, der verhindert, dass Inhalte in einem domänenübergreifenden IFRAME gehostet werden.

Mehr Informationen

Über den Header X-Frame-Options kann gesteuert werden, ob eine Seite in einem IFRAME platziert werden kann. Da die Framesniffing-Technik darauf angewiesen ist, die Opferseite in einem IFRAME platzieren zu können, kann sich eine Webanwendung schützen, indem sie einen geeigneten X-Frame-Options-Header sendet.

Führen Sie die folgenden Schritte aus, um IIS so zu konfigurieren, dass allen Antworten für eine bestimmte Site ein X-Frame-Options-Header hinzugefügt wird:

1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.

2. Erweitern Sie im Bereich „Verbindungen" auf der linken Seite den Ordner „Sites" und wählen Sie die Site aus, die Sie schützen möchten.

3. Doppelklicken Sie in der Funktionsliste in der Mitte auf das Symbol HTTP-Antwort-Header.

4. Klicken Sie im Aktionsbereich auf der rechten Seite auf Hinzufügen.

5. Geben Sie im angezeigten Dialogfeld X-Frame-Options in das Feld Name und SAMEORIGIN in das Feld Value ein.

6. Klicken Sie auf OK, um Ihre Änderungen zu speichern.

Wenn Sie andere Sites haben, die diese Konfiguration benötigen, wiederholen Sie die Schritte 2 bis 6 auch für diese Sites.

Diese Änderung verhindert, dass HTML-Seiten auf anderen Domains Ihre Website in einem IFRAME hosten. Wenn die IT-Abteilung von Contoso diese Änderung beispielsweise auf http://contoso.com anwendet, können Seiten auf http://fabrikam.com keine Inhalte von http://contoso.com mehr in einem IFRAME anzeigen.

Sie können den Wert des X-Frame-Options-Headers ändern, um http://fabrikam.com zu ermöglichen, http://contoso.com zu framen, während alle anderen Domänen blockiert werden. Ändern Sie dazu den Wert des X-Frame-Options-Headers in Schritt 5 in ALLOW-FROM http://fabrikam.com.

Weitere Informationen zum X-Frame-Options-Header finden Sie in diesem MSDN-Blogbeitrag .

Gehen Sie folgendermaßen vor, um die Änderung rückgängig zu machen:

1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.

2. Erweitern Sie im Bereich „Verbindungen" auf der linken Seite den Ordner „Sites" und wählen Sie die Site aus, an der Sie diese Änderung vorgenommen haben.

3. Doppelklicken Sie in der Funktionsliste in der Mitte auf das Symbol HTTP Response Headers.

4. Wählen Sie in der angezeigten Kopfzeilenliste X-Frame-Optionen aus.

5. Klicken Sie im Aktionsbereich auf der rechten Seite auf Entfernen.