HTTP-hoder er en type metadata som sendes med nettforespørsler og svar, informasjonen de gir kan være viktig eller rett og slett være informativ. Sikkerhetshoder er en undergruppe av "Responshodene" som kan settes av webserveren, de er en av funksjonene som kan hjelpe med å løse en rekke sikkerhetsproblemer. En av sikkerhetsoverskriftene, kalt «X-Frame-Options», er utformet for å forhindre click-jacking-angrep.
Click-Jacking
Click-jacking, også kjent som "User Interface Redressing", er et problem der en angriper er i stand til å lure en bruker til å klikke på noe som ikke er hva det ser ut til å være. For nettsider gjøres dette ved å legge en gjennomsiktig nettside over en synlig. I denne typen angrep tror brukeren at de samhandler med det synlige nettstedet, men i virkeligheten påvirker de ubevisst det gjennomsiktige nettstedet.
En angriper kan for eksempel sette opp et nettsted som gjør det sannsynlig at en bruker klikker på en knapp, kanskje en avspillingsknapp for en video. I et gjennomsiktig lag over toppen av den nettsiden er en andre nettside, for eksempel nettsiden for å slette Facebook-kontoen din med "Slett konto"-knappen plassert rett over avspillingsknappen. I dette scenariet når brukeren prøver å klikke på spill, klikker de faktisk på knappen for å slette Facebook-kontoen sin.
Click-jacking er avhengig av muligheten til å vise målnettstedet over toppen av dummy-nettstedet, gjennom en prosess kalt "Framing". Framing bruker HTML-elementet "iframe" som kan laste en hel separat nettside på en annen side. Ved å laste inn målnettsiden i en ramme, plassere den forsiktig og gjøre den gjennomsiktig, vil offeret være fullstendig uvitende om at de blir lurt til å utføre en handling.
X-Frame-alternativer
HTTP-svarhodet "X-Frame-Options" er en valgfri funksjon som kan angis for nettsteder i serverkonfigurasjonsfilene. X-Frame-Options forhindrer nettsider fra å lastes inn i iframes, noe som forhindrer at de blir lagt over et annet nettsted. Offerets nettleser bruker faktisk sikkerhetskontrollen, dette er fordi alle nettlesere respekterer X-Frame-Options-overskriften og vil nekte å laste inn nettsider med overskriften satt i en ramme.
Overskriften lar nettstedeieren konfigurere hvor restriktiv innstillingen er. Det er to innstillinger: "X-Frame-Options: DENY" forhindrer at en beskyttet nettside noensinne blir innrammet. Det andre alternativet, "X-Frame-Options: SAMEORIGIN", lar beskyttede nettsider rammes inn, bare hvis siden som laster inn rammen har samme domenenavn. I dette tilfellet kan du laste en ramme på din egen nettside, men ingen andre kan laste den inn på deres.