クリックジャッキング のバックアップ(No.4)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- クリックジャッキング へ行く。
- 1 (2021-11-14 (日) 12:03:05)
- 2 (2022-07-24 (日) 09:24:55)
- 3 (2022-10-07 (金) 20:54:09)
- 4 (2022-10-08 (土) 10:58:32)
クリックジャッキングとは †
名称 †
- クリックジャック攻撃
概要 †
- Webページにばれないような方法で攻撃用のコンテンツを前面に表示して、クリックにより不正操作させる
手法 †
- iframe を使ってページを重ねて表示して、意図に反した状態でクリックを実行させる
- 重ねて表示している前面のページをCSSで非表示にする
対策 †
- X-Frame-Options
- Webブラウザに対して、frame、iframe、embed、object の中にページを表示することを許可するかどうかを指定する
- 比較的新しいブラウザしか対応していない
- 指定できるディレクティブ
- DENY:表示を許可しない
- SAMEORIGIN:同一オリジンのみ表示を許可する
- Content-Security-Policy
関連サイト †
- HTTP > HTTPヘッダー > X-Frame-Options - MDN web docs
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Frame-Options
- HTTP > HTTPヘッダー > Content-Security-Policy - MDN web docs
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy
- 開発者向けのウェブ技術 > HTTP > コンテンツセキュリティポリシー (CSP) - MDN web docs
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP