Cómo detectar la vulnerabilidad de x-frame-options
Cuando Firefox intenta cargar el contenido del marco, si el encabezado de respuesta X-Frame-Options está configurado para denegar el acceso, Firefox usará about:blank para mostrarlo en el marco.
¿Encabezado de respuesta X-Frame-Options?
El encabezado de respuesta HTTP X-Frame-Options se utiliza para indicar al navegador si se puede permitir una página en , < /iframe> O el marcado mostrado en
¿Usar X-Frame-Options?
X-Frame-Options tiene tres valores:
¿DENEGAR?
Indica que la página no Está permitido mostrarse en un marco, incluso si está anidado en páginas con el mismo nombre de dominio, no está permitido. ?
¿MismoORIGIN?
Indica que la página se puede mostrar en el marco de la página con el mismo nombre de dominio. ?
¿URI ALLOW-FROM?
Indica que la página se puede mostrar en el marco desde la fuente especificada. ?
En otras palabras, si está configurado en DENEGAR, no solo no se cargará cuando esté incrustado en los marcos de sitios web de otras personas, sino que tampoco se cargará en páginas con el mismo nombre de dominio. Por otro lado, si se establece en SAMEORIGIN, la página se puede anidar en el marco de la página con el mismo nombre de dominio.
Configuración de Apache
Para configurar Apache para que envíe el encabezado de respuesta X-Frame-Options en todas las páginas, debe agregar la siguiente línea a la configuración del 'sitio':
El encabezado siempre agrega 'o' ubicación' en la configuración:
add_header X-Frame-Options SAMEORIGIN;
Configurar IIS
Configurar IIS para envíe el encabezado de respuesta X-Frame-Options, agregue la siguiente configuración al archivo Web.config:
...
...