PHP

PHP

PHP脆弱性対応 クリックジャッキング攻撃への対応

セキュリティー対策には多くの対応が必要ですが、

その対策の一つにクリックジャッキング攻撃への対応があります。

 

実は、

以前組んだサイトでクリックジャッキング攻撃への不備が見つかったので、

今回はその不備に対する対応方法についての紹介です。

 

それで、

「クリックジャッキング攻撃」とは何か?

についてですが、

仕組み自体は難しくないのでどなたでも直ぐに理解できる内容だと思います。

 

が、

説明するとなるとデモ用のHTMLを用意したりと結構面倒なので、

今回は止めておきます。

以下のサイトで説明されているので、

そちらを確認してみて下さい。
https://noumenon-th.net/programming/2016/02/20/clickjacking/

 

こちらのブログでは、

対応方法についてのみ説明してみます。

と言っても、

HTTPレスポンスヘッダに「X-FRAME-OPTIONS」を追加して、

外部サイトからフレームでのページの読み込みを制限してやれば対応はOKです。

 

今回不備が見つかったサイトはPHPで組んでいるので、

header()関数を使って設定します。

該当のスクリプトりに以下のようなコードを1行追加するだけです。

 

スクリプト毎に設定するのが面倒という場合には、

.htaccessに以下のような記述を追加する方法もあります。

勿論、httpd.confで設定してもOKです。

 

因みに、

以下のようなmetaタグを追加する方法もあるみたいです。

 

それと、

指定できるのは「DENY」だけではなく、

「SAMEORIGIN」「ALLOW-FROM」も用意されています。

■DENY => フレームでのページの読み込みの一切を禁止
■SAMEORIGIN => フレーム内のページと同一サイトであれば、ページの読み込みが可
■ALLOW-FROM [URLを指定] => 指定したURL内でのみページの読み込みが可

という違いがあるようです。

 

原則「DENY」を指定しておいて、

どうしてもフレームで読み込む必要があるページのみ、

「SAMEORIGIN」や「ALLOW-FROM」を設定するといった仕様にしておいた方が、

個人的には無難な対応に思います。

 

設定が完了したら、

一応HTTPのレスポンスヘッダを確認しておきましょう。
Response Header

X-FRAME-OPTIONSが出力されていればOKです!!

関連記事

  1. PHP

    PHP

    ucfirst()関数とucwords()関数

    たまたま、英単語の頭の文字だけ大文字に変えて文字列を出力するという…

  2. PHP

    PHP

    新着情報の不具合

    お客さんから、ホームページに表示させている新着情報が表示されなくな…

  3. PHP

    PHP

    【PHP】count関数でエラーが出ました。。。

    かなり昔に弊社が作成したシステムがあるのですが、諸々の理由で別サー…

  4. PHP

    PHP

    Fatal error: Call to undefined function hash_hmac(…

    パスワードからハッシュ値を生成してDBに登録しようと、※「$p…

  5. PHP

    PHP

    PHPでWarningエラーが!!

    PHPでこんなエラーが↓PHP Warning:  PHP Sta…

  6. PHP

最近の記事

  1. PHP
  2. PHP
  3. 風邪予防
  4. WordPress(WP)
  5. PHP
  6. 宅建
  7. アンチWP
  8. 日本語ドメイン
  9. WordPress(WP)
  10. SSL(HTTPS通信)
PAGE TOP