HTTP üstbilgileri, web istekleri ve yanıtlarıyla birlikte gönderilen bir tür meta veridir, sağladıkları bilgiler önemli olabilir veya yalnızca bilgi amaçlı olabilir. Güvenlik üstbilgileri, web sunucusu tarafından ayarlanabilen "Yanıt üstbilgilerinin" bir alt kümesidir, bir dizi güvenlik sorununun ele alınmasına yardımcı olabilecek özelliklerden biridir. “X-Frame-Options” adlı güvenlik başlıklarından biri, tıklama saldırılarını önlemek için tasarlanmıştır.
Click-Jacking
"Kullanıcı Arayüzü Düzeltme" olarak da bilinen tıklama korsanlığı, bir saldırganın bir kullanıcıyı göründüğü gibi olmayan bir şeye tıklaması için kandırabildiği bir sorundur. Web siteleri için bu, görünür bir web sitesinin üzerine şeffaf bir web sitesi yerleştirilerek yapılır. Bu tür bir saldırıda, kullanıcı görünen web sitesiyle etkileşime girdiğini düşünür, ancak gerçekte şeffaf web sitesini farkında olmadan etkiler.
Örneğin, bir saldırgan, kullanıcının bir düğmeyi, belki de bir video için bir oynat düğmesini tıklamasını olası kılan bir web sitesi kurabilir. Bu web sayfasının üstündeki şeffaf bir katmanda, doğrudan oynat düğmesinin üzerine yerleştirilmiş “Hesabı sil” düğmesiyle Facebook hesabınızı silmek için web sayfası gibi ikinci bir web sayfası bulunur. Bu senaryoda, kullanıcı oynat'ı tıklamaya çalıştığında, aslında Facebook hesabını silmek için düğmeye tıklar.
Click-jacking, “Çerçeveleme” adı verilen bir işlemle hedef web sitesini sahte web sitesinin üstünde görüntüleme yeteneğine dayanır. Çerçeveleme, ayrı bir web sayfasının tamamını başka bir sayfaya yükleyebilen "iframe" HTML öğesini kullanır. Hedef web sayfasını bir çerçeveye yükleyerek, dikkatlice konumlandırarak ve şeffaf hale getirerek, kurban bir eylemi gerçekleştirmesi için kandırıldıklarından tamamen habersiz olacaktır.
X-Frame-Seçenekleri
HTTP yanıt başlığı “X-Frame-Options”, sunucu yapılandırma dosyalarında web siteleri için ayarlanabilen isteğe bağlı bir özelliktir. X-Frame-Options, web sayfalarının iframe'lere yüklenmesini engeller, bu da başka bir web sitesi üzerine bindirilmesini önler. Kurbanın tarayıcısı aslında güvenlik kontrolünü uygular, bunun nedeni tüm tarayıcıların X-Frame-Options başlığına saygı duyması ve başlığı bir çerçevede ayarlanmış olan web sayfalarını yüklemeyi reddetmesidir.
Başlık, web sitesi sahibinin ayarın ne kadar kısıtlayıcı olduğunu yapılandırmasına izin verir. İki ayar vardır: “X-Frame-Options: DENY” korumalı bir web sayfasının çerçevelenmesini engeller. Diğer seçenek olan “X-Frame-Options: SAMEORIGIN”, yalnızca çerçeveyi yükleyen sayfa aynı alan adına sahipse, korumalı web sayfalarının çerçevelenmesine izin verir. Bu durumda, kendi web sitenize bir çerçeve yükleyebilirsiniz, ancak başka hiç kimse onu kendi web sitesine yükleyemez.