X-Frame-Options헤더 시험 페이지

홈페이지 취약점 분석 이야기	파일 지도 사진 깨알

>> 목록보이기
#X-Frame-Options #HTTP 헤더 #시험페이지

X-Frame-Options 시험 페이지

X-Frame-Options 헤더에 대한 설명을 먼저 참조하자.

다음은 웹핵 홈페이지를 <iframe>내에 출력하도록 하였다. 세 경우는 각각 X-Frame-Options 헤더가 DENY, SAMEORIGIN, 헤더 미설정인 경우이다. 마지막은 DENY로 선언하는 페이스북 누리집이다.

<iframe src="http://webhack.dynu.net/?frame=deny">

[ ↑ X-Frame-Options: DENY ]

이 iframe의 src 변수는 "X-Frame-Options: DENY" 헤더를 출력하는 웹핵 누리집이다. 홈페이지가 보인다면 웹 브라우저가 X-Frame-Options 헤더를 해석하지 못한다는 의미이다.

<iframe src="http://webhack.dynu.net/?frame=sameorigin">

[ ↑ X-Frame-Options: SAMEORIGIN ]

이 iframe의 src 변수는 "X-Frame-Options: SAMEORIGIN" 헤더를 출력하는 웹핵 홈페이지이다. 이 페이지는 웹핵과 동일한 서버에 있으므로 당연히 출력되어야 한다.

<iframe src="http://webhack.dynu.net/?frame=allow">

[ ↑ X-Frame-Options 헤더를 선언하지 않음 ]

이 iframe의 src 변수는 X-Frame-Options 헤더를 출력하지 않는 웹핵 누리집이다. 따라서 웹핵 누리집이 당연하게 출력되어야 한다.

<iframe src="https://www.facebook.com/">

[ ↑ "X-Frame-Options: DENY"로 설정된 페이북 홈페이지 ]

이 iframe의 src 변수는 "X-Frame-Options: DENY" 헤더를 출력하는 페이스북 홈페이지이다. 홈페이지가 보인다면 웹 브라우저가 X-Frame-Options 헤더를 해석하지 못한다는 의미이다. 페이스북 홈페이지의 HTTP 헤더는 Kali Linux의 명령행에서 다음과 같이 확인할 수 있다.

curl -I https://www.facebook.com/

[처음 작성한 날: 2016.11.18] [마지막으로 고친 날: 2016.11.18]

< 이전 글 : 클릭재킹 방지를 위한 X-Frame-Options 헤더 (2016.11.17)

> 다음 글 : 공시생 성적조작 사건, 물리보안과 정보보안 (2016.11.17)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문