勉強前イメージ
クリックするものをジャックする・・・?
調査
クリックジャッキング とは
webサイト上に偽装したボタンやリンクを設置して、視覚的にユーザを騙して誘導する手法になります。
webサイトにアクセスすると一見なんの問題もなさそうなサイトですが
実はサイト上にiframe(インラインフレーム)を使って他のサイトを重ね合わせており見た目が透明になっています。
偽装したリンクやボタンをユーザにクリックさせてウイルスに感染させるためや意図していない広告をクリックさせるのに行われたりしています。
クリックジャッキングの対策
ユーザ向けの対策としては以下2点です。
- JavaScriptやFlashをブラウザで無効にする
- OSやブラウザのアップデートは頻繁に行う
flashを無効にしたからと言って表示されないわけではないですが有効な手段になります。
webサイト向けの対策としては
- HTTPレスポンスヘッダーにX-Frame-Optionsを付ける
- OSやミドルウェアのアップデートは行う
X-Frame-Optionsヘッダの制御でiframeの表示制御を行い、クリックジャッキングの防止に繋がります。
勉強後イメージ
iframeで上に表示できないようにしないと・・・ってことね。