Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年2月20日
最終更新日:2014年1月17日

クリックジャッキング対策(Apache/IIS)

クリックジャッキングは、標的となるサイトを iframe に読み込み、攻撃サイト上のコンテンツ上に透明にした上で表示します。この時、ボタンの表示位置を攻撃サイトと標的サイトを同じにすることで、ユーザーが攻撃サイト上のコンテンツだと思ってボタンをクリックしたつもりが、実際は標的サイト上のボタンをクリックしてしまう攻撃手法です。

pic01
JPCERT/CC 技術メモ - クリックジャッキング対策(PDF) より引用

 

この攻撃のやっかいなところは、Webアプリケーションでは対応ができないことです。ですが、最近のブラウザは X-Frame-Options を HTTPレスポンスヘッダーに追加することで、自分のサイトを他のサイトの iframe 上で表示されることを防ぐことができるようになりました。2010年9月の段階で主要なブラウザはX-Frame-Options に対応しています。

Firefox 4 Beta 5に導入されたX-Frame-Options機能は、現在のFirefoxリリース版の最新版となるFirefox 3.6.9にも取り込まれている。これですべての主要ブラウザの現行リリース版(IE8、Firefox 3.6.9+、Chrome 4.1.249.1042+、Safari 4+、Opera 10.50+)がX-Frame-Options機能に対応したことになる。

【レポート】X-Frame-Options、ブラウザ対応完了 | エンタープライズ | マイナビニュース

但し、Internet Explorer は、Intenet Explorer 8 以上でないと、X-Frame-Options をサポートしていないことに注意が必要です。

X-Frame-Options は以下の指定ができます。

DENY 全てのドメインで iframe の表示を禁止
SAMEORIGIN 同じドメインのサイトなら iframe の表示が可能

 

X-Frame-Options に DENY を指定したときに、以下の HTML がどのように表示されるのかを、Apache と IIS の設定とともに見て行きましょう。

pic02

 

Apache

Apache の設定ファイルを編集します。なお、環境は CentS6.5 です。

以下の1行を追加します。

Apache を再起動します。

この状態で HTML を表示すると、正しく iframe の読み込みが禁止されていることが分かります。

pic03

 

IIS7.5

コントロールパネル >> 管理ツール >> インターネット インフォメーション サービス (IIS) マネージャー を起動し、サイトを選択後、HTTP 応答ヘッダーをダブルクリックします。

pic04

 

追加をクリックします。

pic05

 

名前に X-Frame-Options 、値に DENY を入力して OK ボタンをクリックします。

pic06

 

この状態で HTML を表示すると、正しく iframe の読み込みが禁止されていることが分かります。

pic07


スポンサーリンク




カテゴリー:Linux,Windows

Twitter でも、いろんな情報を発信しています。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA