2018-02-26
web サイトは、クリックジャッキング (clickjacking) 攻撃を防ぐために、HTTP のレスポンスに X-Frame-Options ヘッダを付けないといけないのだという。 (知らなかった)
クリックジャッキングによる攻撃手法とはどのようなもので、なぜ危険なのか、一見分かりにくい。
Twitter の利用者であれば、以下の最後にも出てくる例で、Twitter
のフォローを押させてしまうというのが分かり易いのではないだろうか。
HTTP のレスポンスに、X-Frame-Options ヘッダを、適切に追加させる。
Apache では、httpd.conf に、以下のような行を挿入する。 (あるいは SAMEORIGIN を DENY にするなど)
〜
# avoid clickjacking attacks
# https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options
Header always append X-Frame-Options SAMEORIGIN
〜
適切に設定されていれば、HTTP のレスポンスヘッダに「X-Frame-Options: SAMEORIGIN」 (など) が現れるだろう。
% telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
GET / HTTP/1.0
HTTP/1.1 200 OK
Date: Mon, 26 Feb 2018 11:29:25 GMT
Server: Apache/2.4.29 (FreeBSD) OpenSSL/1.0.2k-freebsd
X-Frame-Options: SAMEORIGIN
〜