HTTP заглавките са вид метаданни, изпращани с уеб заявки и отговори, информацията, която предоставят, може да бъде важна или просто да бъде информационна. Заглавките за защита са подмножество от „заглавките за отговор“, които могат да бъдат зададени от уеб сървъра, те са една от функциите, които могат да помогнат за справяне с редица проблеми със сигурността. Една от заглавките за сигурност, наречена „X-Frame-Options“, е предназначена да предотврати атаки с клик-джакинг.
Клик-джакинг
Извличането на кликвания, известно още като „Пренасочване на потребителския интерфейс“, е проблем, при който нападателят е в състояние да подмами потребителя да щракне върху нещо, което не е това, което изглежда. За уебсайтове това се прави чрез наслагване на прозрачен уебсайт върху видим. При този тип атака потребителят смята, че взаимодейства с видимия уебсайт, но в действителност те несъзнателно засягат прозрачния уебсайт.
Например, нападател може да настрои уебсайт, който прави вероятно потребителят да щракне върху бутон, може би бутон за възпроизвеждане на видеоклип. В прозрачен слой в горната част на тази уеб страница е втора уеб страница, като например уеб страницата за изтриване на вашия акаунт във Facebook с бутона „Изтриване на акаунт“, разположен директно над бутона за възпроизвеждане. В този сценарий, когато потребителят се опитва да щракне върху възпроизвеждане, той всъщност щраква върху бутона, за да изтрие акаунта си във Facebook.
Click-jacking разчита на възможността за показване на целевия уебсайт в горната част на фиктивния уебсайт, чрез процес, наречен „Framing“. Рамкирането използва HTML елемента „iframe“, който може да зареди цяла отделна уеб страница в друга страница. Като зареди целевата уеб страница в рамка, внимателно я позиционира и я превърне в прозрачна, жертвата ще бъде напълно неосведомена, че е измамена да извърши действие.
Опции за X-Frame
Заглавката на HTTP отговор „X-Frame-Options“ е незадължителна функция, която може да бъде зададена за уебсайтове в конфигурационните файлове на сървъра. X-Frame-Options предотвратява зареждането на уеб страници във вложени рамки, което предотвратява наслагването им върху друг уебсайт. Браузърът на жертвата всъщност прилага контрола за сигурност, това е така, защото всички браузъри спазват заглавката на X-Frame-Options и ще откажат да заредят всякакви уеб страници със заглавката, зададена в рамка.
Заглавката позволява на собственика на уебсайта да конфигурира колко ограничаваща е настройката. Има две настройки: „X-Frame-Options: DENY“ предотвратява поставянето на защитена уеб страница в рамка. Другата опция, “X-Frame-Options: SAMEORIGIN”, позволява да бъдат рамкирани защитени уеб страници, само ако страницата, зареждаща рамката, има същото име на домейн. В този случай можете да заредите рамка на вашия собствен уебсайт, но никой друг не може да я зареди на своя.