PHP

PHP

PHP脆弱性対応 クリックジャッキング攻撃への対応

セキュリティー対策には多くの対応が必要ですが、

その対策の一つにクリックジャッキング攻撃への対応があります。

 

実は、

以前組んだサイトでクリックジャッキング攻撃への不備が見つかったので、

今回はその不備に対する対応方法についての紹介です。

 

それで、

「クリックジャッキング攻撃」とは何か?

についてですが、

仕組み自体は難しくないのでどなたでも直ぐに理解できる内容だと思います。

 

が、

説明するとなるとデモ用のHTMLを用意したりと結構面倒なので、

今回は止めておきます。

以下のサイトで説明されているので、

そちらを確認してみて下さい。
https://noumenon-th.net/programming/2016/02/20/clickjacking/

 

こちらのブログでは、

対応方法についてのみ説明してみます。

と言っても、

HTTPレスポンスヘッダに「X-FRAME-OPTIONS」を追加して、

外部サイトからフレームでのページの読み込みを制限してやれば対応はOKです。

 

今回不備が見つかったサイトはPHPで組んでいるので、

header()関数を使って設定します。

該当のスクリプトりに以下のようなコードを1行追加するだけです。

 

スクリプト毎に設定するのが面倒という場合には、

.htaccessに以下のような記述を追加する方法もあります。

勿論、httpd.confで設定してもOKです。

 

因みに、

以下のようなmetaタグを追加する方法もあるみたいです。

 

それと、

指定できるのは「DENY」だけではなく、

「SAMEORIGIN」「ALLOW-FROM」も用意されています。

■DENY => フレームでのページの読み込みの一切を禁止
■SAMEORIGIN => フレーム内のページと同一サイトであれば、ページの読み込みが可
■ALLOW-FROM [URLを指定] => 指定したURL内でのみページの読み込みが可

という違いがあるようです。

 

原則「DENY」を指定しておいて、

どうしてもフレームで読み込む必要があるページのみ、

「SAMEORIGIN」や「ALLOW-FROM」を設定するといった仕様にしておいた方が、

個人的には無難な対応に思います。

 

設定が完了したら、

一応HTTPのレスポンスヘッダを確認しておきましょう。
Response Header

X-FRAME-OPTIONSが出力されていればOKです!!

弊社では、以下の方に向けて、WordPressの短期学習プログラムを
格安(15,000円~)で提供しております。

  • 個人でWordPressを使ったサイト(個人ブログやアフィリエイトサイトなど)構築をお考えの方
  • WordPressを使って副業で稼ぎたい方
  • フリーランスでWordPressを使ったお仕事をお考えの方
  • 自社でホームページの構築・運用をお考えの方
  • 企業のWEB担当者の方

内容

基本的には、初心者の方を対象にした学習プログラムです。

※ WordPress制作の上級者の方の場合、弊社の学習プログラムはあまり役に立たないと考えています。

  • ・ WordPressのインストールからセッティングの方法
  • ・ WordPressのテーマ選びについて
  • ・ WordPressのプラグイン選びと設定方法について
  • ・ サーバの準備方法
  • ・ ドメインの取得・管理の方法
  • ・ FTPの設定方法
  • など

ご用意頂くもの

  • ・ ノートPC
    ※ 弊社はWindowsを業務で利用しておりますので、できればWindowsのPCをおすすめしています。
  • WordPressでサイトの制作を考えているが、何から始めればいいのか分からない。
  • ドメインやサーバはどうやって準備すればいいの?
  • そもそもホームページの公開には何が必要なの?

などなど、

どのような内容でも構いませんので、お気軽にお問い合わせ下さい。

お客様の目的をお聞きした上で、最適の学習プランを提案致します。

ご興味のある方は、以下の内容を記載の上、一度お問い合わせ下さい。
こちらより、折り返しメールを致します。

  • ① お名前
  • ② 折り返し先のメールアドレス
  • ③ 希望の学習内容

関連記事

  1. PHP

    PHP

    PHPの驚くべき演算子

    先日、PHPだとif('01' == '1')がtrueになってしまう…

  2. PHP

    PHP

    PHPのメモリー不足(Allowed memory size)

    メモリエラー:Allowed memory size of ~…

  3. PHP

    PHP

    mb_send_mail()を使うと、機種依存文字が「?」に文字化け!!

    お問い合わせフォームにwindowsの機種依存文字である「﨑」を入力す…

  4. PHP

    PHP

    CodeIgniter データベースキャッシュ機能を利用

    現在、CodeIgniterを利用してシステムの開発を行っています…

  5. PHP

    PHP

    strpos()関数とstrstr()関数

    ある文字列の中に特定の文字列が含まれているかをチェックする場合に、…

  6. PHP

    PHP

    PHPでは'01'と'1'は同じなの!?

    PHPで、などとすると'01'と'1'は同じってみなされるの?…

最近の記事

  1. コピペ(Copy and Paste)
  2. Check Copy Contents(CCC)
  3. WordPress(WP)
  4. セキュリティ
  5. セキュリティ
  6. THE THOR(ザ・トール)
  7. SONY α6400の本体
  8. THE THOR(ザ・トール)
  9. 短縮URL
  10. FFFTP(ファイル転送)
PAGE TOP