Security

ウェブサイトの安全性向上のための取り組み – フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月27日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「フィッシング詐欺を助長しないための対策」の項目から一部抜粋する。(この資料はPDFでしか提供されていない)

フィッシング詐欺を助長しないための対策

  1. EVSSL証明書を取得し、サイトの運営者が誰であるかを証明する
  2. フレームを利用する場合、子フレームのURLを外部パラメータから生成しないように実装する
  3. 利用者がログイン後に移動するページをリダイレクト機能で動的に実装しているウェブサイトについて、リダイレクト先の URL として使用されるパラメータの値には、自サイトのドメインのみを許可するようにする

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Web Security

CSP Level 3 で Strict CSP を利用する

CSP Level 3 で Strict CSP を利用する方法について説明します。

Web Security

WebサイトのHTTPS(SSL)化には Upgrade-Insecure-Requests を使いましょう

目次はじめに原理方法1方法2方法1の設定方法Apacheでの設定Nginx での設定ブラウザの対応状況参考 はじめに せっかくSSLサーバー証明書をとって、Webサイトを SSL化したのに、コンテンツ …

no image

パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。(この資料はPDFでしか提供されていない) …

no image

クリックジャッキング(Clickjacking)対策

対策 方法1:CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。 方法2:HTTP レスポンスヘッダに、X-Frame-Options …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …