最近の、別の記事を探す
【タイトル】
クリックジャッキング対策のX-Frame-Optionsヘッダフィールド
【キーワード】
クリックジャッキング,レスポンスヘッダ,iframe,frame,共用SSL,https
【内容】
を
SAMEORIGINでHTTPレスポンスヘッダに出力している場合、
同じ共用SSL証明書を使って、httpsでアクセスする第3者からiframeでの読み込みが可能になる。
httpsで始まるurlが以下のようなケースです。
https://ss1.xrea.com/www.pc462.com/cgi-bin/ez_Fmaildemo/
https://ss1.xrea.comが共通のSAMEORIGINで
独自ドメインがディレクトリとして記述されるケースです。
上記の言い換えですが、サイト内を全部相対参照で書いていて、
そのサイトが共用SSL使用可能なら、X-Frame-OptionsヘッダフィールドがSAMEORIGIN指定の時、クリックジャッキングにあう可能性があるということです。そのサイトで共用SSLを全く使う意思がなくても。
テスト用のソース:tps.htmの内容
タグは全角で書いています。
・・・・・・・・・・・
<style type="text/css">
<!--
iframe.hist {
height: 1000px;
width: 100%;
border-width: 0px;
margin: 0px;
padding: 0px;
}
body {
padding:0;margin:0;
}
-->
</style>
・・・・・・・・・・・・・・
<iframe src="https://ss1.xrea.com/www.pc462.com/index.php" name="foo" class="hist" onLoad="javascript:alert(foo.document.body.innerText)"></iframe>
・・・・・・・・・・・・・・
tps.htmを
https://ss1.xrea.com/pc46z.s602.xrea.com/cgi-bin/tps.htm
で呼び出します。
www.pc462.com/index.phpはX-Frame-OptionsヘッダフィールドでSAMEORIGIN指定しています。
対策は別記事にします。
IPAのクリックジャッキング対策は以下のpdfの43ページです。
http://www.ipa.go.jp/files/000017316.pdf
更新日 2016-06-03