Cómo detectar la vulnerabilidad de x-frame-options

Cuando Firefox intenta cargar el contenido del marco, si el encabezado de respuesta X-Frame-Options está configurado para denegar el acceso, Firefox usará about:blank para mostrarlo en el marco.

¿Encabezado de respuesta X-Frame-Options?

El encabezado de respuesta HTTP X-Frame-Options se utiliza para indicar al navegador si se puede permitir una página en , < /iframe> O el marcado mostrado en . Los sitios web pueden utilizar esta función para garantizar que el contenido de su propio sitio web no esté incrustado en los sitios web de otras personas, evitando así ataques de clickjacking.

¿Usar X-Frame-Options?

X-Frame-Options tiene tres valores:

¿DENEGAR?

Indica que la página no Está permitido mostrarse en un marco, incluso si está anidado en páginas con el mismo nombre de dominio, no está permitido. ?

¿MismoORIGIN?

Indica que la página se puede mostrar en el marco de la página con el mismo nombre de dominio. ?

¿URI ALLOW-FROM?

Indica que la página se puede mostrar en el marco desde la fuente especificada. ?

En otras palabras, si está configurado en DENEGAR, no solo no se cargará cuando esté incrustado en los marcos de sitios web de otras personas, sino que tampoco se cargará en páginas con el mismo nombre de dominio. Por otro lado, si se establece en SAMEORIGIN, la página se puede anidar en el marco de la página con el mismo nombre de dominio.

Configuración de Apache

Para configurar Apache para que envíe el encabezado de respuesta X-Frame-Options en todas las páginas, debe agregar la siguiente línea a la configuración del 'sitio':

El encabezado siempre agrega 'o' ubicación' en la configuración:

add_header X-Frame-Options SAMEORIGIN;

Configurar IIS

Configurar IIS para envíe el encabezado de respuesta X-Frame-Options, agregue la siguiente configuración al archivo Web.config:

...

...