PR

 今回はクリックジャッキングを防ぐ、「X-FRAME-OPTIONS」の具体的な設定を解説する。

  • 攻撃を受けたくないウェブサイト側が、外部サイト上のframe要素またはiframe要素として表示されることの可否を宣言
  • 「X-FRAME-OPTIONS」に対応したウェブブラウザは、ウェブサイトからの宣言を読み、表示が許可されていない場合は、そのコンテンツの読み込みを拒否する

 クリックジャッキング攻撃への対策をとろうとするウェブサイト運営者は、X-FRAME-OPTIONSをHTTPレスポンスヘッダーに書き込むことで2つのパターンを選択できる。一つはすべてのframe要素またはiframe要素としての表示を禁止するパターンと、同じドメインのframe要素またはiframe要素での表示だけを許可する方法である。

 「DENY」、「SAMEORIGIN」の値をとる。それぞれの設定値の違いは表1の通りである。

表1●X-FRAME-OPTIONSの設定値

 DENYを選択する場合は、すべてのサイトのframe要素、iframe要素での表示を禁止する。こうした制約があるためframe要素やiframe要素を使用しないWebサイトに限り選択する(図1)。

図1●X-FRAME-OPTIONSがDENYの場合