趣味のPHP |→お問い合わせ趣味のPHP
  1. ホーム
  2. 失敗から学ぶPHP
《記事番号:38》 2016-06-03 16:50:54
最近の、別の記事を探す

【タイトル】
クリックジャッキング対策のX-Frame-Optionsヘッダフィールド
【キーワード】
クリックジャッキング,レスポンスヘッダ,iframe,frame,共用SSL,https
【内容】
 をSAMEORIGINでHTTPレスポンスヘッダに出力している場合、同じ共用SSL証明書を使って、httpsでアクセスする第3者からiframeでの読み込みが可能になる
 httpsで始まるurlが以下のようなケースです。
https://ss1.xrea.com/www.pc462.com/cgi-bin/ez_Fmaildemo/
https://ss1.xrea.comが共通のSAMEORIGINで
独自ドメインがディレクトリとして記述されるケースです。

上記の言い換えですが、サイト内を全部相対参照で書いていて、そのサイトが共用SSL使用可能なら、X-Frame-OptionsヘッダフィールドがSAMEORIGIN指定の時、クリックジャッキングにあう可能性があるということです。そのサイトで共用SSLを全く使う意思がなくても。

テスト用のソース:tps.htmの内容 タグは全角で書いています
・・・・・・・・・・・
<style type="text/css">
<!--
iframe.hist {
height: 1000px;
width: 100%;
border-width: 0px;
margin: 0px;
padding: 0px;
}
body {
padding:0;margin:0;
}
-->
</style>
・・・・・・・・・・・・・・
<iframe src="https://ss1.xrea.com/www.pc462.com/index.php" name="foo" class="hist" onLoad="javascript:alert(foo.document.body.innerText)"></iframe>
・・・・・・・・・・・・・・
tps.htmを
https://ss1.xrea.com/pc46z.s602.xrea.com/cgi-bin/tps.htm
で呼び出します。
www.pc462.com/index.phpはX-Frame-OptionsヘッダフィールドでSAMEORIGIN指定しています。
対策は別記事にします。

IPAのクリックジャッキング対策は以下のpdfの43ページです。
http://www.ipa.go.jp/files/000017316.pdf
更新日 2016-06-03
検索


OR検索AND検索
検索方法の違い


更新履歴
追加・更新されたブロックの内容を自動的に表示しています。
メニュー
このサイトは
XOOPSのブロック管理の考え方を参考にして作った自作ツールで作成しています。

このサイトは、全ページどのページからでもリンクフリーです。
このサイトは
 2023/1/6から、このサイトを「パソコンよろず攻防」から「趣味のPHP」に変更しました。過去の記事に現れる、パソコンよろず攻防の文言はそのままにしてあります。
PHPのバージョンアップ