クリックジャッキング の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• クリックジャッキング へ行く。
• クリックジャッキング の差分を削除

#author("2023-02-13T16:37:46+09:00","default:k1rou","k1rou")
#author("2023-02-13T16:38:00+09:00","default:k1rou","k1rou")
*クリックジャッキング [#c4ab6781]
**名称 [#j3118881]
-クリックジャッキング攻撃
-クリックジャック攻撃

**概要 [#r5a7f7aa]
-Webページにばれないような方法で攻撃用のコンテンツを前面に表示して、クリックにより不正操作させる

*手法 [#f6d3681b]
-iframe を使ってページを重ねて表示して、意図に反した状態でクリックを実行させる
-重ねて表示している前面のページをCSSで非表示にする
-ユーザは表示されている情報に合わせた場所でクリックするが、実際には攻撃者が用意した前面の非表示の箇所をクリックした動作が行われる
-ユーザは表示されている情報に合わせた場所でクリックするが、攻撃者が用意した前面の非表示の箇所をクリックした動作が行われる

*対策 [#l1e002e4]
**HTTPレスポンスヘッダの指定 [#i32d0f1c]
-X-Frame-Options
--Webブラウザに対して、frame、iframe、embed、object の中にページを表示することを許可するかどうかを指定する
--比較的新しいブラウザしか対応していない
--指定できるディレクティブ
---DENY：表示を許可しない
---SAMEORIGIN：同一オリジンのみ表示を許可する

-Content-Security-Policy

*関連サイト [#we2489e1]
-HTTP > HTTPヘッダー > X-Frame-Options - MDN web docs~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Frame-Options

-HTTP > HTTPヘッダー > Content-Security-Policy - MDN web docs~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy

-開発者向けのウェブ技術 > HTTP > コンテンツセキュリティポリシー (CSP) - MDN web docs~
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP

*関連用語 [#y13d6cd4]
-[[サイバー攻撃]]
-[[セキュリティ]]
-[[脆弱性]]