ラボラジアン

ICTリテラシーと Web技術の情報サイト

クリックジャッキング(Clickjacking)対策

投稿日：2015年4月27日更新日：2017年2月13日

対策

方法１：CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。
方法２：HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
方法３：処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。

参考

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構
- http://www.ipa.go.jp/security/vuln/websecurity.html
Clickjacking – OWASP
- https://www.owasp.org/index.php/Clickjacking
Clickjacking Defense Cheat Sheet – OWASP
- https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
Content Security Policy
- https://w3c.github.io/webappsec/specs/content-security-policy/#directive-frame-ancestors
ラボラジアンソフトウェアセキュリティ情報 – クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: セキュリティに関連するリンク集

情報は随時追加します。目次毎日チェックするとよいウェブページ一般Webアプリケーション関連WordPress関連インシデント毎日チェックするとよいウェブページ IPA 独立行政法人情報処理推進機 …

: Amazon.co.jp の2段階認証で、スマートフォンを紛失した場合に備える

目次1. はじめに2. バックアップコードの機能がない3. スマートフォン紛失時のログイン手段として「コードが要求されない端末」を利用する4. 現時点でのまとめ 1. はじめに Amazon.co.j …

: Webのセキュリティに役立つWebサービス

目次1. 特定のホスト（サーバー）について調査する2. あるウェブページが安全であるかチェックする3. 特定のWebサイトのSSL設定をチェックする4. 短縮URLの元のURLを取得する5. その他 …

: Laravel 5 でのセキュリティ対策 (PHP)

目次1. ユーザーによる入力値の検証入力パラメータ値のエンコーディングが正しいことをチェックするMiddlewareの例制御文字を禁止するバリデーションルールを追加する例1. バリデーション用のクラス …

: JVN iPediaに載っていた脆弱性を調査する

JVN iPedia という脆弱性対策情報データベースの Webサイトがあるのですが、そこに載っていた JVNDB-2016-005868 という脆弱性情報について調査する過程を紹介します。調査ま …

PREV: バッファオーバーフロー by IPA「安全なウェブサイトの作り方第7版」
NEXT: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」