HTTP のレスポンスヘッダに X-Frame-Options を付ける覚書 (Apache)

2018-02-26

クリックジャッキング

web サイトは、クリックジャッキング (clickjacking) 攻撃を防ぐために、HTTP のレスポンスに X-Frame-Options ヘッダを付けないといけないのだという。 (知らなかった)

クリックジャッキングによる攻撃手法とはどのようなもので、なぜ危険なのか、一見分かりにくい。
Twitter の利用者であれば、以下の最後にも出てくる例で、Twitter のフォローを押させてしまうというのが分かり易いのではないだろうか。

• クリックジャッキング - Wikipedia
• IPAテクニカルウォッチ　知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート
• クリックジャッキングって？ TECHSCORE BLOG
• Webエンジニアだったら当然知っておきたい「 クリックジャッキング対策 」とは？ | ヌーラボ

対策

HTTP のレスポンスに、X-Frame-Options ヘッダを、適切に追加させる。

• X-Frame-Options レスポンスヘッダ - HTTP | MDN
• Webサーバで指定すべきヘッダ - Qiita
• mod_headers - Apache HTTP Server Version 2.4

Apache では、httpd.conf に、以下のような行を挿入する。 (あるいは SAMEORIGIN を DENY にするなど)

〜
# avoid clickjacking attacks
# https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options
Header always append X-Frame-Options SAMEORIGIN
〜

適切に設定されていれば、HTTP のレスポンスヘッダに「X-Frame-Options: SAMEORIGIN」 (など) が現れるだろう。

% telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
GET / HTTP/1.0

HTTP/1.1 200 OK
Date: Mon, 26 Feb 2018 11:29:25 GMT
Server: Apache/2.4.29 (FreeBSD) OpenSSL/1.0.2k-freebsd
X-Frame-Options: SAMEORIGIN
〜

以上