Ramki to jedna z tych funkcji HTML, które z powodzeniem są wykorzystywane do coraz to nowych ataków na użytkowników aplikacji webowych. Dla ochrony przed atakami takimi jak Clickjacking większość stron implementuje krótki kod JavaScript, którego zadaniem jest sprawdzenie czy aplikacja działa w głównym oknie przeglądarki ("framebuster"). Jeśli nie, to próbuje do niego wrócić.

Typowy kod "framebuster" wygląda następująco:

<script language="javascript" type="text/javascript">
if (top != self)
{
top.location=self.location;
}
</script>

Niestety, opublikowana kilka dni temu praca badaczy z uniwersytetów Stanford i Carnegie Mellon dowodzi, że ta technika jest już niewystarczająca. Co gorsza, przytaczane przez nich przykłady pochodzą z sieci co dowodzi, że nowe techniki Clickjackingu są już wykorzystywane w praktyce.

Badacze proponują poprawioną wersję skryptu "framebuster", która ma chronić przed opisanymi atakami. Różni się ona głównie tym, że strona jest domyślnie "niewidoczna" i dopiero "framebuster" włącza jej widoczność. Jeśli nie zostanie on wykonany - a to jest celem atakujących - to strona pozostanie niewidoczna i atak się nie powiedzie:

<style> html{display : none ; } </style> <script>
if( self == top ) {
document.getElementsByTagName("body" )[0].style.display = 'block';
} else {
top.location = self.location ;
}
</script>

Dodatkową ochronę może zapewnić funkcja X-Frame-Options wprowadzona oryginalnie przez Microsoft w przeglądarce Internet Explorer 8. Jej zadaniem jest właśnie ograniczenie ataków Clickjacking (implementuje ją także firefoksowy NoScript). Wystarczy, że aplikacja wystawi w odpowiedzi HTTP taki nagłówek by przeglądarka uniemożliwiła osadzenie jej w ramce:

X-Frame-Options: deny

Jak to działa w praktyce można przetestować tutaj (strona nie powinna się załadować w MSIE8 i Firefoksie z NoScript).

Autorzy aplikacji webowych o zwiększonych potrzebach dotyczących bezpieczeństwa mogą także korzystać z Content Security Policy.