ラボラジアン

Web技術の情報サイト（+ ICTリテラシー関連）

クリックジャッキング(Clickjacking)対策

投稿日：2015年4月27日更新日：2017年2月13日

対策

方法１：CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。
方法２：HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
方法３：処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。

参考

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構
- http://www.ipa.go.jp/security/vuln/websecurity.html
Clickjacking – OWASP
- https://www.owasp.org/index.php/Clickjacking
Clickjacking Defense Cheat Sheet – OWASP
- https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
Content Security Policy
- https://w3c.github.io/webappsec/specs/content-security-policy/#directive-frame-ancestors
ラボラジアンソフトウェアセキュリティ情報 – クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策　4つのポイント」の重要な部分を抜粋する

目次1. はじめに2. CMS を構築されたウェブサイトを狙う攻撃と対策2.1. 脆弱性やウェブサイトの運用上の不備を悪用2.1.1. ソフトウェアの脆弱性2.1.2. 運用上の不備2.2. 認証を突 …

: HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「HTTP ヘッダ・インジェクション」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要なウェブ …

: CSP Level 3 で Strict CSP を利用する

CSP Level 3 で Strict CSP を利用する方法について説明します。

: ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方第7版」

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方第7版」パスワードに関する対策初期パスワードは、推測が困難な文字列で発行 …

: SQLインジェクション対策 by IPA「安全なウェブサイトの作り方第7版」

photo credit: Injection, Inject via photopin (license) 安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「SQLインジェクシ …

PREV: バッファオーバーフロー by IPA「安全なウェブサイトの作り方第7版」
NEXT: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」