Los encabezados HTTP son un tipo de metadatos que se envían con solicitudes y respuestas web. La información que brindan puede ser importante o simplemente informativa. Los encabezados de seguridad son un subconjunto de los «encabezados de respuesta» que puede establecer el servidor web. Son una de las funciones que se pueden utilizar para solucionar una serie de problemas de seguridad. Uno de los encabezados de seguridad llamado «Opciones de X-Frame» está diseñado para evitar ataques de clic.
Haga clic en jacking
Click-jacking, también conocido como «reparación de la interfaz de usuario», es un problema en el que un atacante puede engañar a un usuario para que haga clic en algo que no es lo que parece. En el caso de los sitios web, esto se hace superponiendo un sitio web transparente encima de uno visible. En este tipo de ataque, el usuario piensa que está interactuando con el sitio web visible, pero en realidad está afectando involuntariamente al sitio web transparente.
Por ejemplo, un atacante podría alojar un sitio web que haga que un usuario haga clic en un botón, posiblemente un botón de reproducción en un video. En un nivel transparente por encima de este sitio web hay un segundo sitio web, p. Ej. B. el sitio web para eliminar su cuenta de Facebook con el botón «eliminar cuenta» directamente encima del botón de reproducción. En este escenario, cuando el usuario intenta hacer clic en Reproducir, en realidad está haciendo clic en el botón para eliminar su cuenta de Facebook.
Click jacking se basa en la capacidad de mostrar el sitio web de destino en la parte superior del sitio web ficticio a través de un proceso llamado «framing». Al enmarcar, se utiliza el elemento HTML «iframe», con el que se puede cargar una página web separada completa en otra página. Si carga la página web de destino en un marco, colóquela con cuidado y hágala transparente, la víctima no se dará cuenta de que está siendo engañada para que tome una acción.
Opciones de marco X
El encabezado de respuesta HTTP de X-Frame Options es una característica opcional que se puede configurar para sitios web en los archivos de configuración del servidor. Las opciones de X-Frame evitan que las páginas web se carguen en iframes, lo que evita que se superpongan en otro sitio web. El navegador de la víctima realmente aplica control de seguridad. Esto se debe a que todos los navegadores respetan el encabezado X-Frame-Options y se niegan a cargar páginas web con el encabezado especificado en un marco.
El propietario del sitio web puede usar el encabezado para configurar qué tan restrictiva es la configuración. Hay dos configuraciones: «Opciones de X-Frame: DENY» evita que una página web protegida sea enmarcada. Con la otra opción, «Opciones de X-Frame: SAMEORIGIN», las páginas web protegidas solo se pueden enmarcar si la página que carga el marco tiene el mismo nombre de dominio. En este caso, puede cargar un marco en su propio sitio web, pero nadie más puede cargarlo en su propio sitio web.
