რას აკეთებს X-Frame-Options?

MiscellaneaDec 19, 2021

HTTP სათაურები არის მეტამონაცემების ტიპი, რომელიც გაგზავნილია ვებ მოთხოვნით და პასუხებით, მათ მიერ მოწოდებული ინფორმაცია შეიძლება იყოს მნიშვნელოვანი ან უბრალოდ საინფორმაციო. უსაფრთხოების სათაურები არის "პასუხის სათაურების" ქვეჯგუფი, რომელიც შეიძლება დაყენდეს ვებ სერვერის მიერ, ისინი ერთ-ერთი მახასიათებელია, რომელიც დაგეხმარებათ უსაფრთხოების მრავალი პრობლემის მოგვარებაში. უსაფრთხოების ერთ-ერთი სათაური, სახელწოდებით "X-Frame-Options", შექმნილია დაწკაპუნების შეტევების თავიდან ასაცილებლად.

დაწკაპუნება-ჯეკინგი

დაწკაპუნების ჯეკინგი, ასევე ცნობილი როგორც „მომხმარებლის ინტერფეისის შეცვლა“, არის პრობლემა, როდესაც თავდამსხმელს შეუძლია მოატყუოს მომხმარებელი და დააწკაპუნოს ისეთ რამეზე, რაც არ არის ისეთი, როგორიც ჩანს. ვებსაიტებისთვის, ეს კეთდება გამჭვირვალე ვებსაიტის ხილულზე გადაფარვით. ამ ტიპის თავდასხმისას მომხმარებელი ფიქრობს, რომ ისინი ურთიერთობენ ხილულ ვებსაიტთან, მაგრამ სინამდვილეში, ისინი უნებლიედ გავლენას ახდენენ გამჭვირვალე ვებსაიტზე.

მაგალითად, თავდამსხმელს შეუძლია შექმნას ვებსაიტი, რომლის საშუალებითაც შესაძლებელია მომხმარებლის დაწკაპუნება ღილაკზე, შესაძლოა ვიდეოს დაკვრის ღილაკზე. ამ ვებგვერდის თავზე გამჭვირვალე ფენაში არის მეორე ვებგვერდი, როგორიცაა ვებგვერდი თქვენი Facebook ანგარიშის წასაშლელად ღილაკით „Delete account“ განთავსებული პირდაპირ დაკვრის ღილაკზე. ამ სცენარში, როდესაც მომხმარებელი ცდილობს დააწკაპუნოს თამაში, ისინი რეალურად დააწკაპუნებენ ღილაკზე, რათა წაშალონ თავიანთი Facebook ანგარიში.

Click-jacking ეყრდნობა სამიზნე ვებსაიტის ჩვენების შესაძლებლობას მოჩვენებითი ვებსაიტის ზედა ნაწილში, პროცესის საშუალებით, რომელსაც ეწოდება "Framing". ფრეიმინგი იყენებს HTML ელემენტს "iframe", რომელსაც შეუძლია ჩატვირთოს მთელი ცალკე ვებგვერდი სხვა გვერდზე. სამიზნე ვებგვერდის ჩარჩოში ჩატვირთვით, მისი ფრთხილად განლაგებით და გამჭვირვალე გახდომით, მსხვერპლი სრულიად გაუგებარი იქნება, რომ მას მოატყუებენ მოქმედების შესასრულებლად.

X-Frame-Options

HTTP პასუხის სათაური „X-Frame-Options“ არის არასავალდებულო ფუნქცია, რომელიც შეიძლება დაყენდეს ვებსაიტებისთვის სერვერის კონფიგურაციის ფაილებში. X-Frame-Options ხელს უშლის ვებგვერდების iframes-ში ჩატვირთვას, რაც ხელს უშლის მის სხვა ვებსაიტზე გადაფარვას. მსხვერპლის ბრაუზერი რეალურად იყენებს უსაფრთხოების კონტროლს, ეს იმიტომ ხდება, რომ ყველა ბრაუზერი პატივს სცემს X-Frame-Options სათაურს და უარს იტყვის ნებისმიერი ვებგვერდის ჩატვირთვაზე ჩარჩოში დაყენებული სათაურით.

სათაური საშუალებას აძლევს ვებსაიტის მფლობელს დააკონფიგურიროს რამდენად შემზღუდავია ეს პარამეტრი. არსებობს ორი პარამეტრი: „X-Frame-Options: DENY“ ხელს უშლის დაცული ვებგვერდის ჩარჩოში ჩასმას. სხვა ვარიანტი, „X-Frame-Options: SAMEORIGIN“, საშუალებას იძლევა დაცული ვებგვერდების ჩარჩოში ჩასმა, მხოლოდ იმ შემთხვევაში, თუ ფრეიმის ჩატვირთვის გვერდს აქვს იგივე დომენის სახელი. ამ შემთხვევაში, თქვენ შეგიძლიათ ჩატვირთოთ ჩარჩო თქვენს ვებსაიტზე, მაგრამ ვერავინ შეძლებს მის ჩატვირთვას საკუთარ ვებსაიტზე.