第3回 ブラウザとサーバーが連携、外部サイトからの表示を拒否する
今回はクリックジャッキングを防ぐ、「X-FRAME-OPTIONS」の具体的な設定を解説する。 攻撃を受けたくないウェブサイト側が、外部サイト上のframe要素またはiframe要素として表示されることの可否を宣言 「X-FRAME-OPTIONS」に対応したウェブブラウザは、ウェブサイトからの宣言を読み、表示が許可されていない場合は、そのコンテンツの読み込みを拒否する クリックジャッキング攻撃への対策をとろうとするウェブサイト運営者は、X-FRAME-OPTIONSをHTTPレスポンスヘッダーに書き込むことで2つのパターンを選択できる。一つはすべてのframe要素またはiframe要素としての表示を禁止するパターンと、同じドメインのframe要素またはiframe要素での表示だけを許可する方法である。 「DENY」、「SAMEORIGIN」の値をとる。それぞれの設定値の違いは表1の通りで
P3Pコンパクトポリシーをコピペするのが流行らないことを祈る | 水無月ばけらのえび日記
なにげにしらなかったんだけど、IEで別ドメインのiframeを読み込むと、そのiframe内のcookieが有効にならない。 そーゆーときは、HTTPのリクエスト時のヘッダーに下記のkey&valueを出力しておけばOKらしい。 ("P3P", 'CP="CAO PSA OUR"') こーするだけで、あらふしぎ。IEがCookieを保存してくれるじゃん。 ……。 iframeで別ドメインのコンテンツを読み込むと、そのCookieはサードパーティーのCookieとなります。IEのデフォルトでは、ポリシーが定義されていないサードパーティーのCookieは受け入れないようになっていて、P3P (www.w3.org)でポリシーを宣言すれば受け入れられるようになります。 P3Pのポリシーを定義するには、がっつりとXMLを用意する方法もありますが、HTTP応答ヘッダの中に直接書くという方法もあり、コ
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
Googleサイトで他のWebページを表示する | Google Apps Techfirm Lab
皆さんこんにちは。 今回はGoogleサイトネタです。 自分の作成したサイトに他のWebページを表示してみます。 まぁiframeを使用するんですけどね。GoogleサイトはHTMLを記述できないんでどうするんだろうと思い、試してみました。 まず表示したいページのURLを保存します。今回はテックファームのIR情報をいつでも見れるように自分のサイトで表示してみます。このページのURLを保存しておきます。手頃なのがなかった。。。 次に、サイトを作ります。 作成したらサイトの編集画面で「挿入」=>「その他のガジェット」を選択します。検索窓に「iframe」と入れます。この記事を作成中は以下の検索結果になりましたが、どれでもいいと思います。今回は「Iframe Wrapper」を使用してみようと思います。 これに、先ほどのURLを入れると。。。。。。 出来ました!!会社のIR情報が自分のサ
IE6でSelectボックスだけz-indexが効かないバグをjQueryで解消する方法 - nzm_o。
z-indexでレイヤー表示したボックスの上にselectボックスだけが上側に表示されてしまうIE6のバグがある。 それを解決するjQueryプラグインがある まず事象の確認。 HTML <div id="layer">z-index: 9999;に指定したdivボックス</div> CSS div#layer { color: #FFF; background: #555; border: 1px solid #CCC; position: absolute; width: 100px; height: 100px; z-index: 9999; } 上記で通常問題なくレイヤー表示されるが、IE6の場合以下のようにselectボックスだけがz-indexを無視してしまう。(バグ) これを回避するには、 1.selectボックスを動的に表示/非表示にする 2.iframeをselectボッ
IE6でselectタグ(プルダウン)がz-indexを無視する対策【CSS, HTML】 - Programming Magic
IE6では、selectタグはWindowsのコントロールを使用して表示されている。 そのためか、z-indexやborder、text-alignなどいつくかのスタイルが無視される。 特に困るのがz-indexで、JavaScriptでdivタグをドラッグで移動できるようにした場合、ページ内にselectタグがあると、selectタグだけがz-indexを無視して一番上に表示されてしまう。 selectタグがz-indexを無視するサンプル Opera9、Firefox2では正しく表示される。 IE7ではz-indexの扱いは正しくなっているが、borderやtext-alignは利かない。 このz-indexのバグはiframeタグを使って解決することができる。 iframeタグは、selectタグよりも高いz-indexが設定されていれば、selectタグよりも上に表示
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Brandon Aaron
