ラボラジアン

Web技術の情報サイト（+ ICTリテラシーなど）

クリックジャッキング(Clickjacking)対策

投稿日：2015年4月27日更新日：2017年2月13日

対策

方法１：CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。
方法２：HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
方法３：処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。

参考

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構
- http://www.ipa.go.jp/security/vuln/websecurity.html
Clickjacking – OWASP
- https://www.owasp.org/index.php/Clickjacking
Clickjacking Defense Cheat Sheet – OWASP
- https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
Content Security Policy
- https://w3c.github.io/webappsec/specs/content-security-policy/#directive-frame-ancestors
ラボラジアンソフトウェアセキュリティ情報 – クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: Webのセキュリティに役立つWebサービス

目次1. 特定のホスト（サーバー）について調査する2. あるウェブページが安全であるかチェックする3. 特定のWebサイトのSSL設定をチェックする4. 短縮URLの元のURLを取得する5. その他 …

: CSP Level 3 で Strict CSP を利用する

CSP Level 3 で Strict CSP を利用する方法について説明します。

: メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要なウェブサイト …

: PHPで baseタグを出力する（RPO対策）

PHPで baseタグを出力する方法について説明します。

: XSS Auditor が有効になっているかチェックするためのページを作りました

目次1. XSS とは？2. XSS を防ぐためのブラウザの機能「XSS Auditor」3. Webブラウザの XSS Auditor 機能が有効かどうか調べる4. 参考 1. XSS とは？ XS …

PREV: バッファオーバーフロー by IPA「安全なウェブサイトの作り方第7版」
NEXT: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」