Beim Framesniffing nutzt ein Angreifer Browserfunktionen, um Daten von einer Website zu stehlen. Web-Anwendungen können für diese Angriffstechnik anfällig sein, wenn Inhalte domänenübergreifend über ein IFRAME gehostet werden. Ein Administrator kann das unterbinden, indem er den IIS anweist, einen HTTP-Antwortheader X-Frame-Options mitzusenden. Dadurch wird verhindert, dass Seiten unter fremden Domains Ihre Website in einem IFRAME hosten.
Smartstore setzt diesen HTTP-Antwortheader ab der Version 5.0.5 automatisch, d.h. die im folgenden beschriebene IIS-Konfiguration ist in dem Fall nicht notwendig.
Führen Sie die folgenden Schritte aus, um IIS so zu konfigurieren, dass allen Antworten für eine bestimmte Site ein X-Frame-Options-Header hinzugefügt wird:
- Öffnen Sie den Internet Information Services (IIS) Manager.
- Erweitern Sie im Bereich Verbindungen auf der linken Seite den Ordner Sites und wählen Sie die Site aus, die Sie schützen möchten.
- Doppelklicken Sie in der Funktionsliste in der Mitte auf das Symbol HTTP-Antwortheader.
- Klicken Sie im Bereich Aktionen auf der rechten Seite auf Hinzufügen.
- Geben Sie im angezeigten Dialogfeld X-Frame-Options in das Feld Name und SAMEORIGIN in das Feld Wert ein.
- Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Weitere Informationen finden Sie hier.
Haben Sie weitere Fragen zu den Sicherheitskonfigurationen Ihrer Smartstore Version? Rufen Sie uns an oder senden Sie uns eine E-Mail. Unser Smartstore-Team steht Ihnen gerne persönlich zur Verfügung!