ラボラジアン

Web技術の情報サイト（+ ICTリテラシー関連）

クリックジャッキング(Clickjacking)対策

投稿日：2015年4月27日更新日：2017年2月13日

対策

方法１：CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。
方法２：HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
方法３：処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。

参考

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構
- http://www.ipa.go.jp/security/vuln/websecurity.html
Clickjacking – OWASP
- https://www.owasp.org/index.php/Clickjacking
Clickjacking Defense Cheat Sheet – OWASP
- https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
Content Security Policy
- https://w3c.github.io/webappsec/specs/content-security-policy/#directive-frame-ancestors
ラボラジアンソフトウェアセキュリティ情報 – クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する

openssl s_client コマンドを使い、ウェブサーバーのSSL/TLS対応状況を診断します。目次1. OpenSSL について2. openssl s_client コマンドについて以降の …

: メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要なウェブサイト …

: ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

目次はじめにネットワークビギナーのための情報セキュリティハンドブック Ver.2.00目次プロローグサイバー攻撃ってなに？第1章基本のセキュリティ～ステップバイステップでセキュリティを固めよう！～ …

: CSRF(クロスサイト・リクエスト・フォージェリ) by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「CSRF(クロスサイト・リクエスト・フォージェリ)」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要 …

: JVN iPediaに載っていた脆弱性を調査する

JVN iPedia という脆弱性対策情報データベースの Webサイトがあるのですが、そこに載っていた JVNDB-2016-005868 という脆弱性情報について調査する過程を紹介します。調査ま …

PREV: バッファオーバーフロー by IPA「安全なウェブサイトの作り方第7版」
NEXT: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」