第3回 ブラウザとサーバーが連携、外部サイトからの表示を拒否する
今回はクリックジャッキングを防ぐ、「X-FRAME-OPTIONS」の具体的な設定を解説する。 攻撃を受けたくないウェブサイト側が、外部サイト上のframe要素またはiframe要素として表示されることの可否を宣言 「X-FRAME-OPTIONS」に対応したウェブブラウザは、ウェブサイトからの宣言を読み、表示が許可されていない場合は、そのコンテンツの読み込みを拒否する クリックジャッキング攻撃への対策をとろうとするウェブサイト運営者は、X-FRAME-OPTIONSをHTTPレスポンスヘッダーに書き込むことで2つのパターンを選択できる。一つはすべてのframe要素またはiframe要素としての表示を禁止するパターンと、同じドメインのframe要素またはiframe要素での表示だけを許可する方法である。 「DENY」、「SAMEORIGIN」の値をとる。それぞれの設定値の違いは表1の通りで
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
