Tiêu đề HTTP là một loại siêu dữ liệu được gửi cùng với các yêu cầu và phản hồi trên web, thông tin chúng cung cấp có thể quan trọng hoặc chỉ mang tính thông tin. Tiêu đề bảo mật là một tập hợp con của “tiêu đề phản hồi” có thể được cấu hình bởi máy chủ web, chúng là một trong những tính năng có thể giúp giải quyết một số vấn đề bảo mật. Một trong những tiêu đề bảo mật, được gọi là “X-Frame-Options”, được thiết kế để ngăn chặn các cuộc tấn công clickjacking.
bấm kích
Clickjacking, còn được gọi là “cố định giao diện người dùng”, là một vấn đề mà kẻ tấn công có thể lừa người dùng nhấp vào một cái gì đó không giống như nó có vẻ. Đối với các trang web, điều này được thực hiện bằng cách phủ một trang web trong suốt lên trên một trang web hiển thị. Trong kiểu tấn công này, người dùng nghĩ rằng họ đang tương tác với trang web hiển thị, nhưng thực tế đang vô tình làm ảnh hưởng đến trang web trong suốt.
Ví dụ: kẻ tấn công có thể thiết lập một trang web khiến nhiều khả năng người dùng sẽ nhấp vào nút, có thể là nút phát trên video. Trong một lớp trong suốt trên đầu trang web đó là trang web thứ hai, chẳng hạn như trang web để xóa tài khoản của bạn. Facebook bằng nút “Xóa tài khoản” nằm ngay phía trên nút phát. Trong trường hợp này, khi người dùng cố gắng nhấp vào Phát, họ thực sự đang nhấp vào nút để xóa tài khoản của họ khỏi Facebook.
Click-jacking dựa trên khả năng hiển thị trang web mục tiêu trên trang web giả mạo, thông qua một quá trình được gọi là “Framing”. Tạo khung sử dụng phần tử “iframe” HTML có thể tải toàn bộ trang web riêng biệt trong một trang khác. Bằng cách tải trang web mục tiêu vào một khung, đặt nó một cách cẩn thận và làm cho nó trong suốt, nạn nhân sẽ không hoàn toàn nhận ra rằng họ đang bị lừa thực hiện một hành động.
Tùy chọn khung X
Tiêu đề phản hồi HTTP “X-Frame-Options” là một tính năng tùy chọn có thể được định cấu hình cho các trang web trong tệp cấu hình máy chủ. X-Frame-Options ngăn các trang web tải trong iframe, điều này ngăn chúng bị phủ lên một trang web khác. Trình duyệt của nạn nhân thực sự thực thi kiểm tra bảo mật, điều này là do tất cả các trình duyệt đều tôn trọng tiêu đề X-Frame-Options và sẽ từ chối tải bất kỳ trang web nào có tiêu đề được đặt thành khung.
Tiêu đề cho phép chủ sở hữu trang web định cấu hình mức độ hạn chế của cài đặt. Có hai cài đặt: “X-Frame-Options: DENY” ngăn trang web được bảo vệ khỏi bị đóng khung. Tùy chọn khác, “X-Frame-Options: SAMEORIGIN”, cho phép bạn đóng khung các trang web được bảo vệ, chỉ khi trang tải khung có cùng tên miền. Trong trường hợp này, bạn có thể tải một khung lên trang web của mình, nhưng không ai khác có thể tải nó lên trang web của bạn.
