[Web Security] X-Frame-Options 헤더

X-Frame-Options는 사이트가 iframe 내에서 프레임을 구성하는 방법을 제어할 수 있는 HTTP 헤더이다.

Clickjacking은 악성 사이트가 사이트에 전혀 존재하지 않는 것처럼 보이지만, 사용자가 사이트에 있는 링크를 클릭하도록 속이는 실질적인 공격이다.

따라서, X-Frame-Options 헤더의 사용은 모든 새로운 웹 사이트에 필수이며, 모든 기존 웹 사이트는 가능한 빠르게 X-Frame-Options에 대한 지원을 추가할 것으로 예상된다.

매개변수

• DENY: iframe 사이트 시도를 허용하거나 미허용(권장)
• SAMEORIGIN: 사이트에서 자체 iframe을 허용
• ALLOW-FROM uri: deprecated;

예시

# X-Frame-Options와 CSP로 사이트가 프레인되지 않도록 차단
Content-Security-Policy: frame-ancestors 'none'
X-Frame-Options: DENY

# 자체 iframe만 허용
Content-Security-Policy: frame-ancestors 'self'
X-Frame-Options: SAMEORIGIN

# 프레임 사이트로 framer.mozilla.org만 허용
# 이는 CSP2+를 지원하지 않는 브라우저의 프레임을 차단
Content-Security-Policy: frame-ancestors https://framer.mozilla.org
X-Frame-Options: DENY

참고

https://infosec.mozilla.org/guidelines/web_security#x-frame-options