Header HTTP adalah jenis metadata yang dikirim dengan permintaan dan tanggapan web, informasi yang mereka berikan bisa penting atau sekadar informasi. Header keamanan adalah bagian dari "Header respons" yang dapat diatur oleh server web, ini adalah salah satu fitur yang dapat membantu mengatasi sejumlah masalah keamanan. Salah satu header keamanan, yang disebut "X-Frame-Options" dirancang untuk mencegah serangan click-jacking.
Pembajakan Klik
Click-jacking, juga dikenal sebagai “User Interface Redressing”, adalah masalah di mana penyerang dapat mengelabui pengguna agar mengklik sesuatu yang tidak seperti yang terlihat. Untuk situs web, ini dilakukan dengan melapisi situs web transparan di atas situs web yang terlihat. Dalam jenis serangan ini, pengguna berpikir bahwa mereka berinteraksi dengan situs web yang terlihat, tetapi pada kenyataannya, mereka tanpa disadari memengaruhi situs web transparan.
Misalnya, penyerang dapat menyiapkan situs web yang memungkinkan pengguna mengeklik tombol, mungkin tombol putar untuk video. Di lapisan transparan di atas halaman web itu adalah halaman web kedua, seperti halaman web untuk menghapus akun Facebook Anda dengan tombol "Hapus akun" yang diposisikan langsung di atas tombol putar. Dalam skenario ini ketika pengguna mencoba untuk mengklik putar, mereka benar-benar mengklik tombol untuk menghapus akun Facebook mereka.
Click-jacking bergantung pada kemampuan untuk menampilkan situs web target di atas situs web dummy, melalui proses yang disebut “Framing”. Pembingkaian menggunakan elemen HTML "iframe" yang dapat memuat seluruh halaman web terpisah di dalam halaman lain. Dengan memuat halaman web target dalam bingkai, memposisikannya dengan hati-hati, dan mengubahnya menjadi transparan, korban akan sama sekali tidak menyadari bahwa mereka sedang ditipu untuk melakukan suatu tindakan.
X-Frame-Options
Header respons HTTP "X-Frame-Options" adalah fitur opsional yang dapat diatur untuk situs web di file konfigurasi server. X-Frame-Options mencegah laman web dimuat dalam iframe, yang mencegahnya dihamparkan ke situs web lain. Browser korban sebenarnya menerapkan kontrol keamanan, ini karena semua browser menghormati header X-Frame-Options dan akan menolak memuat halaman web apa pun dengan header yang diatur dalam bingkai.
Header memungkinkan pemilik situs web untuk mengonfigurasi seberapa ketat pengaturannya. Ada dua pengaturan: "X-Frame-Options: DENY" mencegah halaman web yang dilindungi agar tidak pernah dibingkai. Opsi lainnya, "X-Frame-Options: SAMAORIGIN", memungkinkan halaman web yang dilindungi untuk dibingkai, hanya jika halaman yang memuat bingkai memiliki nama domain yang sama. Dalam hal ini, Anda dapat memuat bingkai di situs web Anda sendiri tetapi tidak ada orang lain yang dapat memuatnya di situs mereka.