HTTP-otsikot ovat eräänlaista metatietoa, joka lähetetään verkkopyyntöjen ja -vastausten mukana. Niiden antamat tiedot voivat olla tärkeitä tai yksinkertaisesti informatiivisia. Suojausotsikot ovat osa "vastausotsikoista", jotka verkkopalvelin voi asettaa. Ne ovat yksi ominaisuuksista, jotka voivat auttaa ratkaisemaan useita tietoturvaongelmia. Yksi suojausotsikoista, nimeltään "X-Frame-Options", on suunniteltu estämään napsautusten kaappaushyökkäykset.
Click-Jacking
Napsautusten kaappaus, joka tunnetaan myös nimellä "User Interface Redressing", on ongelma, jossa hyökkääjä pystyy huijaamaan käyttäjän napsauttamaan jotain, joka ei ole sitä, miltä se näyttää. Verkkosivustoilla tämä tehdään peittämällä läpinäkyvä verkkosivusto näkyvän päällä. Tämän tyyppisessä hyökkäyksessä käyttäjä luulee olevansa vuorovaikutuksessa näkyvän verkkosivuston kanssa, mutta todellisuudessa hän vaikuttaa tahattomasti läpinäkyvään verkkosivustoon.
Hyökkääjä voi esimerkiksi perustaa verkkosivuston, jonka avulla on todennäköistä, että käyttäjä napsauttaa painiketta, esimerkiksi videon toistopainiketta. Läpinäkyvässä kerroksessa kyseisen verkkosivun yläreunassa on toinen verkkosivu, kuten verkkosivu, jolla voit poistaa Facebook-tilisi, ja "Poista tili" -painike on sijoitettu suoraan toistopainikkeen päälle. Tässä skenaariossa, kun käyttäjä yrittää napsauttaa toistopainiketta, hän itse asiassa napsauttaa painiketta poistaakseen Facebook-tilinsä.
Napsautusten kaappaus perustuu kykyyn näyttää kohdesivusto valesivuston päällä "kehystys"-nimisen prosessin kautta. Kehystys käyttää HTML-elementtiä "iframe", joka voi ladata kokonaisen erillisen verkkosivun toiselle sivulle. Lataamalla kohdesivun kehykseen, sijoittamalla sen huolellisesti ja muuttamalla sen läpinäkyväksi uhri on täysin tietämätön siitä, että häntä huijataan suorittamaan toiminto.
X-Frame-Options
HTTP-vastausotsikko "X-Frame-Options" on valinnainen ominaisuus, joka voidaan asettaa verkkosivustoille palvelimen asetustiedostoissa. X-Frame-Options estää verkkosivujen lataamisen iframe-kehyksiin, mikä estää niitä peittämästä toisen verkkosivuston päälle. Uhrin selain itse asiassa käyttää suojausta, tämä johtuu siitä, että kaikki selaimet kunnioittavat X-Frame-Options-otsikkoa ja kieltäytyvät lataamasta verkkosivuja, joiden otsikko on asetettu kehykseen.
Otsikon avulla verkkosivuston omistaja voi määrittää, kuinka rajoittava asetus on. Asetuksia on kaksi: "X-Frame-Options: DENY" estää suojatun verkkosivun kehystyksen. Toinen vaihtoehto, "X-Frame-Options: SAMEORIGIN", sallii suojattujen verkkosivujen kehystyksen vain, jos kehystä lataavalla sivulla on sama verkkotunnus. Tässä tapauksessa voit ladata kehyksen omalle verkkosivustollesi, mutta kukaan muu ei voi ladata sitä omalleen.