HTTP zaglavlja su vrsta metapodataka koji se šalju s web zahtjevima i odgovorima, a informacije koje pružaju mogu biti važne ili jednostavno informativne. Sigurnosna zaglavlja su podskup "zaglavlja odgovora" koje može postaviti web poslužitelj, ona su jedna od značajki koje mogu pomoći u rješavanju brojnih sigurnosnih problema. Jedno od sigurnosnih zaglavlja, nazvano "X-Frame-Options" dizajnirano je za sprječavanje napada klikanjem.
Click-Jacking
Uklanjanje klikova, također poznato kao "ispravljanje korisničkog sučelja", problem je u kojem napadač može prevariti korisnika da klikne na nešto što nije ono što se čini. Za web stranice, to se postiže preklapanjem transparentne web stranice preko vidljive. U ovoj vrsti napada korisnik misli da je u interakciji s vidljivom web-stranicom, ali u stvarnosti nesvjesno utječe na transparentnu web stranicu.
Na primjer, napadač bi mogao postaviti web-mjesto zbog čega je vjerojatno da korisnik klikne gumb, možda gumb za reprodukciju videozapisa. U prozirnom sloju na vrhu te web-stranice nalazi se druga web-stranica, kao što je web-stranica za brisanje vašeg Facebook računa s gumbom "Izbriši račun" koji se nalazi izravno iznad gumba za reprodukciju. U ovom scenariju, kada korisnik pokuša kliknuti play, on zapravo klikne gumb za brisanje svog Facebook računa.
Click-jacking se oslanja na mogućnost prikazivanja ciljane web stranice na vrhu lažne web stranice, kroz proces koji se naziva "Uokvirivanje". Uokvirivanje koristi HTML element "iframe" koji može učitati cijelu zasebnu web stranicu unutar druge stranice. Učitavanjem ciljne web stranice u okvir, pažljivim pozicioniranjem i pretvaranjem prozirne, žrtva će biti potpuno nesvjesna da je prevarena da izvrši radnju.
X-Frame-Opcije
Zaglavlje HTTP odgovora "X-Frame-Options" je izborna značajka koja se može postaviti za web stranice u konfiguracijskim datotekama poslužitelja. X-Frame-Options sprječava učitavanje web stranica u iframes, što sprječava njihovo preklapanje preko druge web stranice. Preglednik žrtve zapravo primjenjuje sigurnosnu kontrolu, to je zato što svi preglednici poštuju zaglavlje X-Frame-Options i odbit će učitati bilo koje web stranice sa zaglavljem postavljenim u okviru.
Zaglavlje omogućuje vlasniku web-mjesta da konfigurira koliko je postavka restriktivna. Postoje dvije postavke: "X-Frame-Options: DENY" sprječava da se zaštićena web stranica ikada uokviri. Druga opcija, "Opcije X-okvira: SAMEORIGIN", omogućuje uokvirivanje zaštićenih web stranica samo ako stranica koja učitava okvir ima isti naziv domene. U tom slučaju možete učitati okvir na svoju web stranicu, ali nitko drugi ga ne može učitati na svoju.