X-Frame-Option Headeri ile clickjacking ataklara karşı koruma sağlanmaktadır.
Clickjacking, saldırganın kendi kontrolündeki sayfa içerisinde eklediği iframe ile hedef siteyi çağırır, görünürlüğünü düşürür, sayfayı ziyaret eden kullanıcıya başka bir işlem yaptığını düşündürerek butona tıklaması yada bağlantıya tıklaması sonucunda, hedef site üzerinde işlem yaptırabilir.
Server tarafında eklenecek olan X-Frame-Options header’ı ile tarayıcıya hangi sayfaların iframe içerisinde, sayfamızı çağırabileceği bilgisini verilebilir.
- X-Frame-Options: DENY olarak tanımlanırsa sayfamızın iframe içerisinde çağrılması engellenecektir.
- X-Frame-Options: SAMEORIGIN olarak tanımlanırsa aynı origine sahip sayfa tarafından çaprılmasına izin vermektedir.
- X-Frame-Options: ALLOW FROM www.onurbabur.com olarak tanımlanırsaise izin verilen sayfa tarafından, sayfamız iframe içerisinde çağrılabilir.
IIS üzerinde X-Frame-Options ekleme işlemi IIS web server içerisinde bulunan web.config dosyası içerisinde <system.webserver> içerisine aşağıdaki şekilde eklenir.
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ... </system.webServer>