安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クリックジャッキング」から一部抜粋する。(この資料はPDFでしか提供されていない)
注意が必要なウェブサイトの特徴
ログイン後の利用者のみが利用可能な機能(サービスや設定)を、マウス操作のみで実行可能なウェブサイトが、クリックジャッキング攻撃による影響を受ける可能性があります。マウス操作のみで実行可能な処理が、利用者に紐づいた情報の公開範囲の変更処理等の場合は、攻撃による被害が大きくなるため、特に注意が必要です。
また、対策を実施した場合、後述する副作用が発生します。そのため、ウェブサイトの情報セキュリティポリシーや副作用等を加味して、クリックジャッキングの脆弱性対策の実施有無を検討してください。
根本的解決
- 9-(i)-a HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
- 9-(i)-b 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。
保険的対策
- 9-(ii) 重要な処理は、一連の操作をマウスのみで実行できないようにする。
関連CWE
- なし
参考URL
- IPA: テクニカルウォッチ 『クリックジャッキング』に関するレポート