@2021-06-21
10:48:36
X-Frame-Options 응답 헤더는 해당 페이지를 <iframe>또는<frame>,<object>에서 렌더링 할 수 있는지 여부를 나타내는데 사용한다. 사이트 내 콘텐츠들이 다른 사이트에 포함되지 않도록 하여 ClickJacking 공격을 막기 위해 이 헤더값을 사용한다.
- X-Frame-Options : deny
렌더링을 허용하지 않습니다. - X-Frame-Options : sameorigin
동일한 사이트의 frame에서만 허용합니다. - X-Frame-Options : allow-from uri
uri 도메인의 페이지에서 포함된 것만 허용시킵니다.
서버별 설정 방법
Apache서버에서 설정하는 방법
1. Header always set X-Frame-Options "***"
nginx서버에서 설정하는 방법
1. add_header X-Frame-Options sameorigin;
IIS서버에서 설정하는 방법(Web.config파일)
1.
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="sameorigin" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
확인 방법
1. Proxy Tool(Burp Suite, owasp-zap)을 통한 x-frame-options 확인
2. 웹 취약점 탐색기 nikto
'Web Pentesting' 카테고리의 다른 글
Web Pentesting(2) - Web Pentesting 총론 (0) | 2021.07.05 |
---|---|
Web Pentesting(1) - Web Pentesting Intro (0) | 2021.07.05 |