HTTP-headere er en type metadata, der sendes med webanmodninger og -svar, de oplysninger, de giver, kan være vigtige eller blot være informative. Sikkerhedsheadere er en undergruppe af "Responsheaders", som kan indstilles af webserveren, de er en af de funktioner, der kan hjælpe med at løse en række sikkerhedsproblemer. En af sikkerhedsoverskrifterne, kaldet "X-Frame-Options" er designet til at forhindre klik-jack-angreb.
Click-jacking
Click-jacking, også kendt som "User Interface Redressing", er et problem, hvor en angriber er i stand til at narre en bruger til at klikke på noget, der ikke er, hvad det ser ud til at være. For hjemmesider gøres dette ved at overlejre en gennemsigtig hjemmeside over en synlig. I denne type angreb tror brugeren, at de interagerer med det synlige websted, men i virkeligheden påvirker de ubevidst det gennemsigtige websted.
For eksempel kan en angriber oprette et websted, der gør det sandsynligt, at en bruger klikker på en knap, måske en afspilningsknap til en video. I et gennemsigtigt lag over toppen af denne webside er en anden webside, såsom websiden for at slette din Facebook-konto med knappen "Slet konto" placeret direkte over afspilningsknappen. I dette scenarie, når brugeren forsøger at klikke på afspil, klikker de faktisk på knappen for at slette deres Facebook-konto.
Click-jacking er afhængig af evnen til at vise målwebstedet over toppen af dummy-webstedet gennem en proces kaldet "Framing". Framing bruger HTML-elementet "iframe", som kan indlæse en hel separat webside på en anden side. Ved at indlæse målwebsiden i en ramme, placere den omhyggeligt og gøre den gennemsigtig, vil offeret være fuldstændig uvidende om, at de bliver narret til at udføre en handling.
X-Frame-indstillinger
HTTP-svarheaderen "X-Frame-Options" er en valgfri funktion, der kan indstilles for websteder i serverkonfigurationsfilerne. X-Frame-Options forhindrer websider i at blive indlæst i iframes, hvilket forhindrer dem i at blive overlejret over et andet websted. Offerets browser anvender faktisk sikkerhedskontrollen, det skyldes, at alle browsere respekterer X-Frame-Options-headeren og vil nægte at indlæse websider med headeren sat i en ramme.
Overskriften giver webstedsejeren mulighed for at konfigurere, hvor restriktiv indstillingen er. Der er to indstillinger: "X-Frame-Options: DENY" forhindrer en beskyttet webside i nogensinde at blive indrammet. Den anden mulighed, "X-Frame-Options: SAMEORIGIN", tillader, at beskyttede websider kun indrammes, hvis den side, der indlæser rammen, har det samme domænenavn. I dette tilfælde kan du indlæse en ramme på din egen hjemmeside, men ingen andre kan indlæse den på deres.