対策
-
方法1:CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。
-
方法2:HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
-
方法3:処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。
参考
- 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
- Clickjacking – OWASP
- Clickjacking Defense Cheat Sheet – OWASP
- Content Security Policy
- ラボラジアン ソフトウェアセキュリティ情報 – クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」