>> 목록보이기
#X-Frame-Options
#HTTP 헤더
#시험페이지
X-Frame-Options 시험 페이지
X-Frame-Options 헤더에 대한 설명을 먼저 참조하자.
다음은 웹핵 홈페이지를 <iframe>내에 출력하도록 하였다. 세 경우는 각각
X-Frame-Options 헤더가
DENY,
SAMEORIGIN,
헤더 미설정인 경우이다.
마지막은 DENY로 선언하는 페이스북 누리집이다.
<iframe src="http://webhack.dynu.net/?frame=deny">
[ ↑ X-Frame-Options: DENY ]
이 iframe의 src 변수는 "X-Frame-Options: DENY" 헤더를 출력하는 웹핵 누리집이다.
홈페이지가 보인다면 웹 브라우저가 X-Frame-Options 헤더를 해석하지 못한다는 의미이다.
<iframe src="http://webhack.dynu.net/?frame=sameorigin">
[ ↑ X-Frame-Options: SAMEORIGIN ]
이 iframe의 src 변수는 "X-Frame-Options: SAMEORIGIN" 헤더를 출력하는 웹핵 홈페이지이다.
이 페이지는 웹핵과 동일한 서버에 있으므로 당연히 출력되어야 한다.
<iframe src="http://webhack.dynu.net/?frame=allow">
[ ↑ X-Frame-Options 헤더를 선언하지 않음 ]
이 iframe의 src 변수는 X-Frame-Options 헤더를 출력하지 않는 웹핵 누리집이다.
따라서 웹핵 누리집이 당연하게 출력되어야 한다.
<iframe src="https://www.facebook.com/">
[ ↑ "X-Frame-Options: DENY"로 설정된 페이북 홈페이지 ]
이 iframe의 src 변수는 "X-Frame-Options: DENY" 헤더를 출력하는 페이스북 홈페이지이다.
홈페이지가 보인다면 웹 브라우저가 X-Frame-Options 헤더를 해석하지 못한다는 의미이다.
페이스북 홈페이지의 HTTP 헤더는 Kali Linux의 명령행에서 다음과 같이 확인할 수 있다.
curl -I https://www.facebook.com/
[처음 작성한 날: 2016.11.18] [마지막으로 고친 날: 2016.11.18]
< 이전 글 : 클릭재킹 방지를 위한 X-Frame-Options 헤더 (2016.11.17)
> 다음 글 : 공시생 성적조작 사건, 물리보안과 정보보안 (2016.11.17)
이 저작물은 크리에이티브
커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문
|
|