HTTP galvenes ir metadatu veids, kas tiek nosūtīts ar tīmekļa pieprasījumiem un atbildēm, un to sniegtā informācija var būt svarīga vai vienkārši informatīva. Drošības galvenes ir “atbildes galvenes” apakškopa, ko var iestatīt tīmekļa serveris. Tās ir viena no funkcijām, kas var palīdzēt risināt vairākas drošības problēmas. Viena no drošības galvenēm, ko sauc par “X-Frame-Options”, ir paredzēta, lai novērstu klikšķu nolaupīšanas uzbrukumus.
Klikšķu noņemšana
Klikšķu bloķēšana, kas pazīstama arī kā “lietotāja interfeisa labošana”, ir problēma, kurā uzbrucējs var pievilt lietotāju noklikšķināt uz kaut kā, kas nav tas, kas šķiet. Vietnēm tas tiek darīts, pārklājot caurspīdīgu vietni virs redzamas. Šāda veida uzbrukumā lietotājs domā, ka mijiedarbojas ar redzamo vietni, taču patiesībā tas neapzināti ietekmē caurspīdīgo vietni.
Piemēram, uzbrucējs var izveidot vietni, kas ļauj lietotājam noklikšķināt uz pogas, iespējams, uz videoklipa atskaņošanas pogas. Caurspīdīgā slānī virs šīs tīmekļa lapas augšdaļas ir otrā tīmekļa lapa, piemēram, tīmekļa lapa, lai dzēstu jūsu Facebook kontu ar pogu “Dzēst kontu”, kas atrodas tieši virs atskaņošanas pogas. Šādā gadījumā, kad lietotājs mēģina noklikšķināt uz atskaņot, viņš faktiski noklikšķina uz pogas, lai izdzēstu savu Facebook kontu.
Klikšķu novēršanas pamatā ir spēja parādīt mērķa vietni fiktīvas vietnes augšpusē, izmantojot procesu, ko sauc par “ierāmēšanu”. Kadrēšanai tiek izmantots HTML elements “iframe”, kas var ielādēt visu atsevišķu tīmekļa lapu citā lapā. Ielādējot mērķa tīmekļa lapu rāmī, rūpīgi novietojot to un padarot to caurspīdīgu, upuris pilnībā neapzinās, ka tiek maldināts veikt kādu darbību.
X-Frame-Options
HTTP atbildes galvene “X-Frame-Options” ir izvēles līdzeklis, ko var iestatīt vietnēm servera konfigurācijas failos. X-Frame-Options novērš tīmekļa lapu ielādi iframe, kas neļauj tām pārklāties ar citu vietni. Upura pārlūkprogramma faktiski izmanto drošības kontroli, jo visas pārlūkprogrammas ievēro X-Frame-Options galveni un atsakās ielādēt tīmekļa lapas, kuru galvene ir iestatīta rāmī.
Galvene ļauj vietnes īpašniekam konfigurēt, cik ierobežojošs ir iestatījums. Ir divi iestatījumi: “X-Frame-Options: DENY” novērš aizsargātas tīmekļa lapas ierāmēšanu. Otra opcija “X-Frame-Options: SAMEORIGIN” ļauj ierāmēt aizsargātās tīmekļa lapas tikai tad, ja lapai, kurā tiek ielādēts rāmis, ir vienāds domēna nosaukums. Šādā gadījumā jūs varat ielādēt rāmi savā vietnē, bet neviens cits nevar to ielādēt savā vietnē.