ラボラジアン

Web技術の情報サイト（+ ICTリテラシー関連）

クリックジャッキング(Clickjacking)対策

投稿日：2015年4月27日更新日：2017年2月13日

対策

方法１：CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。
方法２：HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
方法３：処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。

参考

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構
- http://www.ipa.go.jp/security/vuln/websecurity.html
Clickjacking – OWASP
- https://www.owasp.org/index.php/Clickjacking
Clickjacking Defense Cheat Sheet – OWASP
- https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
Content Security Policy
- https://w3c.github.io/webappsec/specs/content-security-policy/#directive-frame-ancestors
ラボラジアンソフトウェアセキュリティ情報 – クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方第7版」

photo credit: XSS attack on YouTube via photopin (license) 安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「クロスサイ …

: ウェブサイトの完全 SSL/TLS 化が進んでいる

参考 Google、Chromeで半数以上がHTTPSを利用と発表 | マイナビニュース 2016/11/09 Chrome は Google にどこまでの情報を送っているのでしょうか？そこも気にな …

: メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要なウェブサイト …

: セキュリティの会社も疑ってみる

セキュリティの会社であっても営利企業なので、いろいろ思惑があって動くこともありますよ。気を付けましょう。全く出鱈目な注意喚起。対策の案内が出鱈目。https://t.co/gTCApCppvV（ネ …

: IPA「SSL/TLS 暗号設定ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～：IPA 独立行政法人情報処理推進機構を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか？をメモし …

PREV: バッファオーバーフロー by IPA「安全なウェブサイトの作り方第7版」
NEXT: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」