Заголовки HTTP - это тип метаданных, отправляемых с веб-запросами и ответами, информация, которую они предоставляют, может быть важной или просто быть информационной. Заголовки безопасности - это подмножество «заголовков ответов», которые могут быть установлены веб-сервером, они являются одной из функций, которые могут помочь решить ряд проблем безопасности. Один из заголовков безопасности, называемый «X-Frame-Options», предназначен для предотвращения атак типа «кликджекинг».
Клик-джекинг
Клик-джекинг, также известный как «исправление ошибок в пользовательском интерфейсе», представляет собой проблему, при которой злоумышленник может обманом заставить пользователя нажать на то, что не является тем, чем кажется. Для веб-сайтов это делается путем наложения прозрачного веб-сайта на видимый. В этом типе атаки пользователь думает, что он взаимодействует с видимым веб-сайтом, но на самом деле они невольно влияют на прозрачный веб-сайт.
Например, злоумышленник может создать веб-сайт, на котором существует вероятность того, что пользователь нажмет кнопку, возможно, кнопку воспроизведения для видео. В прозрачном слое над этой веб-страницей находится вторая веб-страница, например, веб-страница для удаления вашей учетной записи Facebook с кнопкой «Удалить учетную запись», расположенной непосредственно над кнопкой воспроизведения. В этом сценарии, когда пользователь пытается нажать кнопку воспроизведения, он фактически нажимает кнопку, чтобы удалить свою учетную запись Facebook.
Клик-джекинг основан на возможности отображать целевой веб-сайт поверх фиктивного веб-сайта с помощью процесса, называемого «фрейминг». Фрейминг использует HTML-элемент «iframe», который может загружать целую отдельную веб-страницу в пределах другой страницы. Загрузив целевую веб-страницу во фрейм, тщательно разместив ее и сделав прозрачной, жертва будет совершенно не подозревать, что ее обманом заставили выполнить действие.
X-Frame-Опции
Заголовок HTTP-ответа «X-Frame-Options» - это дополнительная функция, которую можно настроить для веб-сайтов в файлах конфигурации сервера. X-Frame-Options предотвращает загрузку веб-страниц в окнах iframe, что предотвращает их наложение на другой веб-сайт. Браузер жертвы фактически применяет меры безопасности, потому что все браузеры уважают заголовок X-Frame-Options и отказываются загружать любые веб-страницы с заголовком, установленным во фрейме.
Заголовок позволяет владельцу веб-сайта настраивать степень ограничения параметра. Есть две настройки: «X-Frame-Options: DENY» предотвращает создание защищенной веб-страницы во фрейме. Другой вариант, «X-Frame-Options: SAMEORIGIN», позволяет размещать защищенные веб-страницы во фреймах, только если страница, загружающая фрейм, имеет то же доменное имя. В этом случае вы можете загрузить фрейм на свой собственный веб-сайт, но никто другой не сможет загрузить его на свой.