Glave HTTP so vrsta metapodatkov, poslanih s spletnimi zahtevami in odgovori, informacije, ki jih posredujejo, so lahko pomembne ali pa so preprosto informativne. Varnostne glave so podmnožica »glav odgovorov«, ki jih lahko nastavi spletni strežnik, so ena od funkcij, ki lahko pomagajo pri reševanju številnih varnostnih težav. Ena od varnostnih glav, imenovana "X-Frame-Options", je zasnovana za preprečevanje napadov s klikom.
Click-Jacking
Prekrivanje klikov, znano tudi kot »popravljanje uporabniškega vmesnika«, je težava, pri kateri lahko napadalec zavede uporabnika, da klikne na nekaj, kar ni to, kar se zdi. Pri spletnih straneh se to naredi tako, da se pregledna spletna stran prekrije preko vidne. Pri tej vrsti napada uporabnik misli, da je v interakciji z vidnim spletnim mestom, v resnici pa nevede vpliva na pregledno spletno mesto.
Napadalec bi lahko na primer nastavil spletno mesto, zaradi katerega je verjetno, da uporabnik klikne gumb, morda gumb za predvajanje videoposnetka. V prozornem sloju na vrhu te spletne strani je druga spletna stran, na primer spletna stran za brisanje vašega Facebook računa z gumbom »Izbriši račun«, ki je nameščen neposredno nad gumbom za predvajanje. V tem scenariju, ko uporabnik poskuša klikniti predvajaj, dejansko klikne gumb, da izbriše svoj račun Facebook.
Prekinitev klikov se opira na zmožnost prikaza ciljnega spletnega mesta na vrhu navideznega spletnega mesta s postopkom, imenovanim »Uokvirjanje«. Uokvirjanje uporablja element HTML »iframe«, ki lahko naloži celotno ločeno spletno stran znotraj druge strani. Z nalaganjem ciljne spletne strani v okvir, skrbno pozicioniranjem in preglednostjo se žrtev popolnoma ne zaveda, da je zavedena pri izvedbi dejanja.
X-Frame-Možnosti
Glava odgovora HTTP »X-Frame-Options« je izbirna funkcija, ki jo je mogoče nastaviti za spletna mesta v konfiguracijskih datotekah strežnika. X-Frame-Options preprečuje, da bi se spletne strani naložile v iframe, kar preprečuje, da bi bile prekrite z drugim spletnim mestom. Brskalnik žrtve dejansko uporablja varnostni nadzor, saj vsi brskalniki spoštujejo glavo X-Frame-Options in zavračajo nalaganje spletnih strani z glavo, nastavljeno v okvirju.
Glava lastniku spletnega mesta omogoča, da konfigurira, kako omejevalna je nastavitev. Obstajata dve nastavitvi: »Možnosti X-okvirja: ZAVRNI« preprečuje, da bi bila zaščitena spletna stran kadar koli uokvirjena. Druga možnost, »Možnosti X-okvirja: SAMEORIGIN«, omogoča uokvirjanje zaščitenih spletnih strani le, če ima stran, ki nalaga okvir, isto ime domene. V tem primeru lahko okvir naložite na svoje spletno mesto, vendar ga nihče drug ne more naložiti na svoje.