एक्स-फ़्रेम-विकल्प क्या करता है?

अनेक वस्तुओं का संग्रहDec 19, 2021
click fraud protection

HTTP हेडर वेब अनुरोधों और प्रतिक्रियाओं के साथ भेजे गए मेटाडेटा का एक प्रकार है, जो जानकारी वे प्रदान करते हैं वह महत्वपूर्ण हो सकती है या केवल सूचनात्मक हो सकती है। सुरक्षा शीर्षलेख "प्रतिक्रिया शीर्षलेख" का एक सबसेट है जिसे वेब सर्वर द्वारा सेट किया जा सकता है, वे उन विशेषताओं में से एक हैं जो कई सुरक्षा मुद्दों को हल करने में मदद कर सकते हैं। सुरक्षा हेडर में से एक, जिसे "एक्स-फ़्रेम-विकल्प" कहा जाता है, को क्लिक-जैकिंग हमलों को रोकने के लिए डिज़ाइन किया गया है।

क्लिक-जैकिंग

क्लिक-जैकिंग, जिसे "यूजर इंटरफेस रिड्रेसिंग" के रूप में भी जाना जाता है, एक ऐसा मुद्दा है जहां एक हमलावर उपयोगकर्ता को किसी ऐसी चीज पर क्लिक करने में सक्षम बनाता है जो ऐसा प्रतीत नहीं होता है। वेबसाइटों के लिए, यह एक दृश्यमान वेबसाइट पर एक पारदर्शी वेबसाइट को ओवरले करके किया जाता है। इस प्रकार के हमले में उपयोगकर्ता सोचता है कि वे दृश्यमान वेबसाइट से इंटरैक्ट कर रहे हैं लेकिन वास्तव में, वे अनजाने में पारदर्शी वेबसाइट को प्रभावित कर रहे हैं।

उदाहरण के लिए, एक हमलावर एक वेबसाइट स्थापित कर सकता है जिससे यह संभावना हो जाती है कि उपयोगकर्ता एक बटन पर क्लिक करता है, शायद एक वीडियो के लिए एक प्ले बटन। उस वेबपेज के शीर्ष पर एक पारदर्शी परत में एक दूसरा वेबपेज होता है, जैसे कि प्ले बटन पर सीधे स्थित "खाता हटाएं" बटन के साथ अपने फेसबुक खाते को हटाने के लिए वेबपेज। इस परिदृश्य में जब उपयोगकर्ता प्ले पर क्लिक करने का प्रयास करता है, तो वे वास्तव में अपने फेसबुक अकाउंट को हटाने के लिए बटन पर क्लिक करते हैं।

क्लिक-जैकिंग "फ़्रेमिंग" नामक प्रक्रिया के माध्यम से, डमी वेबसाइट के शीर्ष पर लक्षित वेबसाइट को प्रदर्शित करने की क्षमता पर निर्भर करता है। फ़्रेमिंग HTML तत्व "iframe" का उपयोग करता है जो किसी अन्य पृष्ठ के भीतर एक संपूर्ण अलग वेबपृष्ठ लोड कर सकता है। लक्ष्य वेबपेज को एक फ्रेम में लोड करके, उसे सावधानी से पोजिशन करके, और इसे पारदर्शी बनाकर, पीड़ित इस बात से पूरी तरह अनजान होंगे कि उन्हें कोई कार्रवाई करने के लिए बरगलाया जा रहा है।

एक्स फ़्रेम-विकल्पों को

HTTP प्रतिक्रिया शीर्षलेख "एक्स-फ़्रेम-विकल्प" एक वैकल्पिक सुविधा है जिसे सर्वर कॉन्फ़िगरेशन फ़ाइलों में वेबसाइटों के लिए सेट किया जा सकता है। X-Frame-Options वेबपेजों को iframes में लोड होने से रोकता है, जो इसे किसी अन्य वेबसाइट पर ओवरलेड होने से रोकता है। पीड़ित का ब्राउज़र वास्तव में सुरक्षा नियंत्रण लागू करता है, ऐसा इसलिए है क्योंकि सभी ब्राउज़र एक्स-फ़्रेम-विकल्प शीर्षलेख का सम्मान करते हैं और फ़्रेम में सेट शीर्षलेख के साथ किसी भी वेबपृष्ठ को लोड करने से मना कर देंगे।

हेडर वेबसाइट के मालिक को यह कॉन्फ़िगर करने की अनुमति देता है कि सेटिंग कितनी प्रतिबंधात्मक है। दो सेटिंग्स हैं: "एक्स-फ्रेम-विकल्प: इनकार" एक संरक्षित वेबपेज को कभी भी तैयार होने से रोकता है। दूसरा विकल्प, "एक्स-फ़्रेम-विकल्प: सैमोरिजिन", संरक्षित वेबपृष्ठों को फ़्रेम करने की अनुमति देता है, केवल तभी जब फ़्रेम लोड करने वाले पृष्ठ का डोमेन नाम समान हो। इस मामले में, आप अपनी वेबसाइट पर एक फ्रेम लोड कर सकते हैं लेकिन कोई और इसे अपनी वेबसाइट पर लोड नहीं कर सकता है।