Framesniffing یک تکنیک حمله است که از امکانات مرورگر برای سرقت اطلاعات از یک وب سایت بهره میبرد. برنامههایی که اجازه میدهند محتوای آنها در یک IFRAME بین دامنهای میزبانی شود، در معرض این حمله قرار دارند.
با استفاده از تنظیمات صحیح در X-Frame ما می توانید این بخش را مدیریت کنیم و اجازه دهیم که در بستری امن محتوای یک وبسایت در وبسایت مشخص دیگر نمایش داده شود یا خیر؟
جلوگیری از انتشار محتوا از طریق iframe
برای این کار کافیست کد زیر را پس از تگ <system.webServer> در فایل web.config اضافه کنید:
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
این تغییر از میزبانی صفحات HTML در دامنههای دیگر از طریق iframe جلوگیری میکند. به عنوان مثال اگر این تغییر را در http://domain.com اعمال کنید، صفحات http://domain2.com دیگر نمیتوانند محتوای http://domain.com را در iframe نمایش دهند.
ارایه مجوز انتشار محتوا در یک دامنه مشخص از طریق iframe
شما همچنین میتوانید بر خلاف قسمت قبل یک دامنه را استثنا کنید به گونهای که در آن دامنه خاص امکان نمایش صفحات دامنه اول فراهم شود. برای این کار کافیست در قسمت value آدرس دامنه دوم را قرار دهید.
مثال:
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="ALLOW-FROM http://domain2.com" />
</customHeaders>
</httpProtocol>