כותרות HTTP הן סוג של מטא נתונים שנשלחים עם בקשות ותגובות אינטרנט, המידע שהן מספקות יכול להיות חשוב או פשוט להיות אינפורמטיבי. כותרות אבטחה הן תת-קבוצה של "כותרות התגובה" שניתן להגדיר על ידי שרת האינטרנט, הן אחת התכונות שיכולות לעזור לטפל במספר בעיות אבטחה. אחת מכותרות האבטחה, המכונה "X-Frame-Options" נועדה למנוע התקפות חטיפת קליקים.
קליק-ג'ק
פריצת קליקים, הידועה גם בשם "תיקון ממשק משתמש", היא בעיה שבה תוקף מסוגל להערים על משתמש ללחוץ על משהו שאינו מה שהוא נראה. עבור אתרים, זה נעשה על ידי שכבת על של אתר שקוף על אתר גלוי. בסוג זה של התקפה המשתמש חושב שהוא מקיים אינטראקציה עם האתר הגלוי, אבל במציאות, הם משפיעים מבלי משים על האתר השקוף.
לדוגמה, תוקף יכול להקים אתר אינטרנט שגורם לסבירות שמשתמש ילחץ על כפתור, אולי כפתור הפעלה של סרטון. בשכבה שקופה מעל החלק העליון של דף אינטרנט זה נמצא דף אינטרנט שני, כגון דף האינטרנט למחיקת חשבון הפייסבוק שלך עם כפתור "מחק חשבון" הממוקם ישירות מעל לחצן ההפעלה. בתרחיש זה כאשר המשתמש מנסה ללחוץ על הפעל, הוא למעשה לוחץ על הכפתור כדי למחוק את חשבון הפייסבוק שלו.
פריצת קליקים מסתמכת על היכולת להציג את אתר היעד על גבי אתר הדמה, באמצעות תהליך שנקרא "מסגור". מסגור משתמש באלמנט HTML "iframe" שיכול לטעון דף אינטרנט נפרד שלם בתוך דף אחר. על ידי טעינת דף האינטרנט של היעד במסגרת, מיקומו בזהירות והפיכתו לשקוף, הקורבן לא יהיה מודע לחלוטין לכך שמרמה אותו לבצע פעולה.
X-Frame-Options
כותרת תגובת ה-HTTP "X-Frame-Options" היא תכונה אופציונלית שניתן להגדיר עבור אתרי אינטרנט בקבצי תצורת השרת. X-Frame-Options מונעת טעינת דפי אינטרנט ב-iframes, מה שמונע מהם להיות שכבה מעל אתר אחר. הדפדפן של הקורבן מחיל למעשה את בקרת האבטחה, זאת מכיוון שכל הדפדפנים מכבדים את הכותרת X-Frame-Options ומסרבים לטעון כל דפי אינטרנט עם הכותרת מוגדרת במסגרת.
הכותרת מאפשרת לבעל האתר להגדיר עד כמה ההגדרה מגבילה. ישנן שתי הגדרות: "X-Frame-Options: DENY" מונעת מדף אינטרנט מוגן להיות ממוסגר. האפשרות האחרת, "X-Frame-Options: SAMEORIGIN", מאפשרת למסגר דפי אינטרנט מוגנים, רק אם לדף שטוען את המסגרת יש אותו שם תחום. במקרה זה, אתה יכול לטעון מסגרת באתר האינטרנט שלך, אך אף אחד אחר לא יכול לטעון אותה באתר שלהם.