X-Frame-Options의 기능은 무엇입니까?

HTTP 헤더는 웹 요청 및 응답과 함께 전송되는 메타데이터 유형이며 이들이 제공하는 정보는 중요하거나 단순히 정보용일 수 있습니다. 보안 헤더는 웹 서버에서 설정할 수 있는 "응답 헤더"의 하위 집합으로, 여러 보안 문제를 해결하는 데 도움이 될 수 있는 기능 중 하나입니다. "X-Frame-Options"라는 보안 헤더 중 하나는 클릭재킹 공격을 방지하도록 설계되었습니다.

클릭재킹

"사용자 인터페이스 수정"이라고도 하는 클릭재킹은 공격자가 사용자를 속여 실제와 다른 것을 클릭하도록 할 수 있는 문제입니다. 웹 사이트의 경우 이는 보이는 웹 사이트 위에 투명한 웹 사이트를 오버레이하여 수행됩니다. 이러한 유형의 공격에서 사용자는 보이는 웹사이트와 상호 작용하고 있다고 생각하지만 실제로는 자신도 모르게 투명한 웹 사이트에 영향을 미치고 있습니다.

예를 들어, 공격자는 사용자가 버튼(예: 비디오 재생 버튼)을 클릭할 수 있는 웹 사이트를 설정할 수 있습니다. 해당 웹 페이지 상단의 투명 레이어에는 재생 버튼 바로 위에 위치한 "계정 삭제" 버튼으로 Facebook 계정을 삭제하는 웹 페이지와 같은 두 번째 웹 페이지가 있습니다. 이 시나리오에서 사용자가 재생을 클릭하려고 할 때 실제로 버튼을 클릭하여 Facebook 계정을 삭제합니다.

클릭재킹은 "프레이밍(Framing)"이라는 프로세스를 통해 더미 웹사이트 상단에 대상 웹사이트를 표시하는 기능에 의존합니다. 프레이밍은 다른 페이지 내에서 전체 개별 웹페이지를 로드할 수 있는 HTML 요소 "iframe"을 사용합니다. 대상 웹 페이지를 프레임에 로드하고 신중하게 배치하고 투명하게 설정하면 피해자는 자신이 속아서 행동을 취하게 되었다는 사실을 전혀 인식하지 못합니다.

X-프레임-옵션

HTTP 응답 헤더 "X-Frame-Options"는 서버 구성 파일에서 웹사이트에 대해 설정할 수 있는 선택적 기능입니다. X-Frame-Options는 웹 페이지가 iframe에 로드되는 것을 방지하여 다른 웹 사이트 위에 오버레이되는 것을 방지합니다. 피해자의 브라우저는 실제로 보안 제어를 적용합니다. 이는 모든 브라우저가 X-Frame-Options 헤더를 존중하고 프레임에 헤더가 설정된 웹 페이지 로드를 거부하기 때문입니다.

헤더를 통해 웹사이트 소유자는 설정이 얼마나 제한적인지 구성할 수 있습니다. 두 가지 설정이 있습니다. "X-Frame-Options: DENY"는 보호된 웹 페이지가 프레임되지 않도록 합니다. 다른 옵션인 "X-Frame-Options: SAMEORIGIN"은 프레임을 로드하는 페이지의 도메인 이름이 동일한 경우에만 보호된 웹페이지를 프레임화할 수 있도록 합니다. 이 경우 자신의 웹사이트에 프레임을 로드할 수 있지만 다른 사람은 프레임을 로드할 수 없습니다.