クリックジャッキング

クリックジャッキング †

名称 †

• クリックジャッキング攻撃
• クリックジャック攻撃

概要 †

• Webページにばれないような方法で攻撃用のコンテンツを前面に表示して、クリックにより不正操作させる

手法 †

• iframe を使ってページを重ねて表示して、意図に反した状態でクリックを実行させる
• 重ねて表示している前面のページをCSSで非表示にする
• ユーザは表示されている情報に合わせた場所でクリックするが、攻撃者が用意した前面の非表示の箇所をクリックした動作が行われる

対策 †

HTTPレスポンスヘッダの指定 †

• X-Frame-Options
  • Webブラウザに対して、frame、iframe、embed、object の中にページを表示することを許可するかどうかを指定する
  • 比較的新しいブラウザしか対応していない
  • 指定できるディレクティブ
    • DENY：表示を許可しない
    • SAMEORIGIN：同一オリジンのみ表示を許可する

• Content-Security-Policy

関連サイト †

• HTTP > HTTPヘッダー > X-Frame-Options - MDN web docs
  https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Frame-Options

• HTTP > HTTPヘッダー > Content-Security-Policy - MDN web docs
  https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy

• 開発者向けのウェブ技術 > HTTP > コンテンツセキュリティポリシー (CSP) - MDN web docs
  https://developer.mozilla.org/ja/docs/Web/HTTP/CSP

関連用語 †

• サイバー攻撃
• セキュリティ
• 脆弱性