Security(セキュリティ)

PHP

PHP脆弱性対応 クリックジャッキング攻撃への対応

セキュリティー対策には多くの対応が必要ですが、

その対策の一つにクリックジャッキング攻撃への対応があります。

 

実は、

以前組んだサイトでクリックジャッキング攻撃への不備が見つかったので、

今回はその不備に対する対応方法についての紹介です。

 

それで、

「クリックジャッキング攻撃」とは何か?

についてですが、

仕組み自体は難しくないのでどなたでも直ぐに理解できる内容だと思います。

 

が、

説明するとなるとデモ用のHTMLを用意したりと結構面倒なので、

今回は止めておきます。

以下のサイトで説明されているので、

そちらを確認してみて下さい。
https://noumenon-th.net/programming/2016/02/20/clickjacking/

 

こちらのブログでは、

対応方法についてのみ説明してみます。

と言っても、

HTTPレスポンスヘッダに「X-FRAME-OPTIONS」を追加して、

外部サイトからフレームでのページの読み込みを制限してやれば対応はOKです。

 

今回不備が見つかったサイトはPHPで組んでいるので、

header()関数を使って設定します。

該当のスクリプトりに以下のようなコードを1行追加するだけです。

 

スクリプト毎に設定するのが面倒という場合には、

.htaccessに以下のような記述を追加する方法もあります。

勿論、httpd.confで設定してもOKです。

 

因みに、

以下のようなmetaタグを追加する方法もあるみたいです。

 

それと、

指定できるのは「DENY」だけではなく、

「SAMEORIGIN」「ALLOW-FROM」も用意されています。

■DENY => フレームでのページの読み込みの一切を禁止
■SAMEORIGIN => フレーム内のページと同一サイトであれば、ページの読み込みが可
■ALLOW-FROM [URLを指定] => 指定したURL内でのみページの読み込みが可

という違いがあるようです。

 

原則「DENY」を指定しておいて、

どうしてもフレームで読み込む必要があるページのみ、

「SAMEORIGIN」や「ALLOW-FROM」を設定するといった仕様にしておいた方が、

個人的には無難な対応に思います。

 

設定が完了したら、

一応HTTPのレスポンスヘッダを確認しておきましょう。
Response Header

X-FRAME-OPTIONSが出力されていればOKです!!

弊社では、以下の方に向けて、WordPressの短期学習プログラムを
格安(15,000円~)で提供しております。

  • 個人でWordPressを使ったサイト(個人ブログやアフィリエイトサイトなど)構築をお考えの方
  • WordPressを使って副業で稼ぎたい方
  • フリーランスでWordPressを使ったお仕事をお考えの方
  • 自社でホームページの構築・運用をお考えの方
  • 企業のWEB担当者の方

内容

基本的には、初心者の方を対象にした学習プログラムです。

※ WordPress制作の上級者の方の場合、弊社の学習プログラムはあまり役に立たないと考えています。

  • ・ WordPressのインストールからセッティングの方法
  • ・ WordPressのテーマ選びについて
  • ・ WordPressのプラグイン選びと設定方法について
  • ・ サーバの準備方法
  • ・ ドメインの取得・管理の方法
  • ・ FTPの設定方法
  • など

ご用意頂くもの

  • ・ ノートPC
    ※ 弊社はWindowsを業務で利用しておりますので、できればWindowsのPCをおすすめしています。
  • WordPressでサイトの制作を考えているが、何から始めればいいのか分からない。
  • ドメインやサーバはどうやって準備すればいいの?
  • そもそもホームページの公開には何が必要なの?

などなど、

どのような内容でも構いませんので、お気軽にお問い合わせ下さい。

お客様の目的をお聞きした上で、最適の学習プランを提案致します。

ご興味のある方は、以下の内容を記載の上、一度お問い合わせ下さい。
こちらより、折り返しメールを致します。

  • ① お名前
  • ② 折り返し先のメールアドレス
  • ③ 希望の学習内容

関連記事

  1. PHP(ピー・エイチ・ピー)

    PHP

    【PHP】substr()を使って郵便番号を「3桁 - 4桁」に変換

    PHPでの郵便番号の取り扱いについて、メモ程度に情報を残しておきま…

  2. Security(セキュリティ)

    PHP

    お問合せフォームのスパム対策

    お問合せフォームからスパムメールが大量に届くという報告が入りました。…

  3. Security(セキュリティ)

    PHP

    PHP脆弱性対応:XSS(クロスサイトスクリプティング)

    今週の主な作業はお問い合せフォームの脆弱性対策(セキュリティー対策)で…

  4. PHP(ピー・エイチ・ピー)

    PHP

    CodeIgniter データベースキャッシュ機能を利用

    現在、CodeIgniterを利用してシステムの開発を行っています…

  5. PHP

    プレースホルダ(プリペアド・ステートメント)

    私が入社する前に外注先に組んで貰ったかなり古いプログラムになるのですが…

  6. PHP(ピー・エイチ・ピー)

    PHP

    Smarty modifier(修飾子プラグイン)

    以前、以下の様な記事を書きました。https://www.deep…

最近の記事

  1. WordPress(ワードプレス)
  2. SNS(ソーシャルメディア)
  3. Database(DB:データベース)
  4. Database(DB:データベース)
  5. Twitter
  6. SEO(エスイーオー)
  7. WordPressプラグイン「Anti-spam」
  8. システムエラー
  9. PHP(ピー・エイチ・ピー)
  10. SONY 広角レンズ「SEL1018」
PAGE TOP