Security(セキュリティ)

PHP

PHP脆弱性対応 クリックジャッキング攻撃への対応

セキュリティー対策には多くの対応が必要ですが、

その対策の一つにクリックジャッキング攻撃への対応があります。

 

実は、

以前組んだサイトでクリックジャッキング攻撃への不備が見つかったので、

今回はその不備に対する対応方法についての紹介です。

 

それで、

「クリックジャッキング攻撃」とは何か?

についてですが、

仕組み自体は難しくないのでどなたでも直ぐに理解できる内容だと思います。

 

が、

説明するとなるとデモ用のHTMLを用意したりと結構面倒なので、

今回は止めておきます。

以下のサイトで説明されているので、

そちらを確認してみて下さい。
https://noumenon-th.net/programming/2016/02/20/clickjacking/

 

こちらのブログでは、

対応方法についてのみ説明してみます。

と言っても、

HTTPレスポンスヘッダに「X-FRAME-OPTIONS」を追加して、

外部サイトからフレームでのページの読み込みを制限してやれば対応はOKです。

 

今回不備が見つかったサイトはPHPで組んでいるので、

header()関数を使って設定します。

該当のスクリプトりに以下のようなコードを1行追加するだけです。

 

スクリプト毎に設定するのが面倒という場合には、

.htaccessに以下のような記述を追加する方法もあります。

勿論、httpd.confで設定してもOKです。

 

因みに、

以下のようなmetaタグを追加する方法もあるみたいです。

 

それと、

指定できるのは「DENY」だけではなく、

「SAMEORIGIN」「ALLOW-FROM」も用意されています。

■DENY => フレームでのページの読み込みの一切を禁止
■SAMEORIGIN => フレーム内のページと同一サイトであれば、ページの読み込みが可
■ALLOW-FROM [URLを指定] => 指定したURL内でのみページの読み込みが可

という違いがあるようです。

 

原則「DENY」を指定しておいて、

どうしてもフレームで読み込む必要があるページのみ、

「SAMEORIGIN」や「ALLOW-FROM」を設定するといった仕様にしておいた方が、

個人的には無難な対応に思います。

 

設定が完了したら、

一応HTTPのレスポンスヘッダを確認しておきましょう。
Response Header

X-FRAME-OPTIONSが出力されていればOKです!!

WordPress短期学習プログラム

関連記事

  1. PHP(ピー・エイチ・ピー)

    PHP

    array_unique()関数で配列の重複データを削除

    重複したデータが配列の中に存在する場合、array_unique(…

  2. Database(DB:データベース)

    PHP

    【phpPgAdmin】php-pgsqlをインストール

    phpPgAdminをインストール後に、ブラウザから管理画面にアク…

  3. CakePHP

    PHP

    【CakePHP】composerによるインストールでエラーが!

    CakePHPをインストールするために、# composer se…

  4. サーバー設定

    PHP

    お名前.comのVPSサーバ(KVM)にPHPをインストール

    お名前.comのVPSサーバにPHPをインストールしてみました!!…

  5. PHP(ピー・エイチ・ピー)

    PHP

    「PHPINIDir」でphp.iniのパスを指定

    php.iniを修正したのですが、Apacheの再起動までちゃんと…

  6. Security(セキュリティ)

    PHP

    PHP脆弱性対応:フォームのセキュリティー対策 入力値の妥当性チェック

    前回のXSS脆弱性対策(セキュリティー対策)の続きで、今回は入力値…

最近の記事

  1. Technology-Connection-Net
  2. ドメインにハイフンを使うのは日本人だけ?
  3. SSL(HTTPS)
  4. ドメインについて
  5. WP:WordPress(ワードプレス)
  6. ドメイン(domain)
  7. JPドメイン
  8. 高速(スピード)
  9. ブログアクセス
  10. 高速(スピード)
PAGE TOP