홈페이지 취약점 분석 이야기 파일 지도 사진 깨알






>> 목록보이기
#X-Frame-Options #HTTP 헤더 #시험페이지

X-Frame-Options 시험 페이지

X-Frame-Options 헤더에 대한 설명을 먼저 참조하자.

다음은 웹핵 홈페이지를 <iframe>내에 출력하도록 하였다. 세 경우는 각각 X-Frame-Options 헤더가 DENY, SAMEORIGIN, 헤더 미설정인 경우이다. 마지막은 DENY로 선언하는 페이스북 누리집이다.

<iframe src="http://webhack.dynu.net/?frame=deny">

[ X-Frame-Options: DENY ]

이 iframe의 src 변수는 "X-Frame-Options: DENY" 헤더를 출력하는 웹핵 누리집이다. 홈페이지가 보인다면 웹 브라우저가 X-Frame-Options 헤더를 해석하지 못한다는 의미이다.

<iframe src="http://webhack.dynu.net/?frame=sameorigin">

[ X-Frame-Options: SAMEORIGIN ]

이 iframe의 src 변수는 "X-Frame-Options: SAMEORIGIN" 헤더를 출력하는 웹핵 홈페이지이다. 이 페이지는 웹핵과 동일한 서버에 있으므로 당연히 출력되어야 한다.

<iframe src="http://webhack.dynu.net/?frame=allow">

[ X-Frame-Options 헤더를 선언하지 않음 ]

이 iframe의 src 변수는 X-Frame-Options 헤더를 출력하지 않는 웹핵 누리집이다. 따라서 웹핵 누리집이 당연하게 출력되어야 한다.

<iframe src="https://www.facebook.com/">

[ "X-Frame-Options: DENY"로 설정된 페이북 홈페이지 ]

이 iframe의 src 변수는 "X-Frame-Options: DENY" 헤더를 출력하는 페이스북 홈페이지이다. 홈페이지가 보인다면 웹 브라우저가 X-Frame-Options 헤더를 해석하지 못한다는 의미이다. 페이스북 홈페이지의 HTTP 헤더는 Kali Linux의 명령행에서 다음과 같이 확인할 수 있다.

curl -I https://www.facebook.com/

[처음 작성한 날: 2016.11.18]    [마지막으로 고친 날: 2016.11.18] 


< 이전 글 : 클릭재킹 방지를 위한 X-Frame-Options 헤더 (2016.11.17)

> 다음 글 : 공시생 성적조작 사건, 물리보안과 정보보안 (2016.11.17)


크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문
 __
( 보안은 비용이 아니라 투자다.  )
 --
          o
           o
            o          __---__
                    _-       /--______
               __--( /     \ )XXXXXXXXXXX\v.
             .-XXX(   O   O  )XXXXXXXXXXXXXXX-
            /XXX(       U     )        XXXXXXX\
          /XXXXX(              )--_  XXXXXXXXXXX\
         /XXXXX/ (      O     )   XXXXXX   \XXXXX\
         XXXXX/   /            XXXXXX   \__ \XXXXX
         XXXXXX__/          XXXXXX         \__---->
 ---___  XXX__/          XXXXXX      \__         /
   \-  --__/   ___/\  XXXXXX            /  ___--/=
    \-\    ___/    XXXXXX              '--- XXXXXX
       \-\/XXX\ XXXXXX                      /XXXXX
         \XXXXXXXXX   \                    /XXXXX/
          \XXXXXX      >                 _/XXXXX/
            \XXXXX--__/              __-- XXXX/
             -XXXXXXXX---------------  XXXXXX-
                \XXXXXXXXXXXXXXXXXXXXXXXXXX/
                  ""VXXXXXXXXXXXXXXXXXXV""
.. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ...... ... ... ] .. [ .../ ..../ ......./ .. ./// ../ ... .. ... .. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ./// ../ ... .. ... ...| ..../ ./ ... / ..| ....| ........ / ... / .... ...... ... ... ] .. [ .../ ..../ ......./ .....| ..../ ./ ... / ..| ....| ........ / ... / .... ...| ..../ ./ ... / ..| ....| ........ / ... / .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .