ヘッダーによるセキュリティ

135 タグ一覧

PHP Windows Android iOS Linux iPhone HTML ｊQuery スマートフォンセキュリティーブログ CodeIgniter 携帯ネットワークサーバープログラム docomo server デザイン Google アプリ JavaScript ゲーム SQL ブラウザー iPad TIPS Bootstrap JQuery SEO 開発広告仕事キャリアライフハックモチベーションツールエンジニア趣味 CSS シェル挨拶方向性人工知能環境サービス未来フリー妥協点目標あるべき姿フリーランス学習書籍健康設計近況 Raspberry Pi API 自分用道具リニューアルアップデート経済教育 BOT サバゲー 3Dプリンター振り返り機能追加 WordPress 覚書きフレームワーク人工無能工夫通信テンプレート改修事業アルゴリズム見積もり片手間保守分析ハード勘違い愚痴ローグコマンド形態素解析転職メールアイデア TED コーディング ELECTRON Drawer ドット絵せっけい障害ウォーターフォール bat phina.js 対価受託希望 utnity クロスドメイン SSL 不正キャリアパス仮想通貨屋号ブロックチェーン決済申告 Tableau Vue.js Firebase 検証定番収入メンター Raspberry Pi ドライバー SNS 世相独学格安SIM 言い方サバイバルゲーム業界動向案件独自メニュー将来

Pro Profile

Follow @zeijaku

西日本に棲息しつ、いつも東京のイベントが面白そうで歯痒い思いをしてる底辺技術者

Authentication

Cancel OK

B!コメントする 2011-11-08 23:18:00 by old

最近WEB上で動作するものを作っているのでセキュリティに関して調査していますが、その中で「X-FRAME-OPTION」というのを見つけたので紹介します。

この「X-FRAME-OPTION」というヘッダですが、元々はマイクロソフトが呼びかけて採用されたものだそうで、クリックジャック対策として用いられるようです。
IEでは8から、他のブラウザでもだいたい実装されているようです。

クリックジャックというのはiframeやCSSやJavaScriptなんかを組み合わせて行う攻撃の一種ですが、これは有害サイトを正常に見せたり色々な偽装や情報の露呈などを行ってしまう攻撃です。（http://ja.wikipedia.org/wiki/クリックジャッキング）

簡単な例を紹介すると、iframeの中に正規のサイトを表示して、CSSやJavaScriptなんかで透過やボタンなどを駆使してクリックを横取りしたり、情報を頂戴したりするような動作があげられます。

これらを防ぐには該当するドメインのみで操作が有効であることにしないといけないわけですが、それを手助けしてくれるのがX-FRAME-OPTIONヘッダです。
使用方法はMETAタグとヘッダーで埋め込む方法の2種類があります。

METAタグの場合

meta http-equiv="X-FRAME-OPTIONS" content="SAMEORIGIN"

ヘッダーの場合（PHP）

header('X-FRAME-OPTIONS', 'SAMEORIGIN');

となります。
値としては以下の２つが選択可能です。

SAMEORIGIN　＝　同一生成元に限り許可
DENY　＝　拒否

となります。

DENYを指定した場合、レスポンスはframe等の内側では表示されなくなり、SAMEORIGINの場合は、ブラウザーのアドレスに表示されたドメインと同一生成元の時のみ表示されるようになります。そのため、別サイトからiframeを使って参照攻撃した場合は見れなくなります。

使い分けとしてはframeを使っているところはSAMEORIGIN、使っていないところはDENYとするとセキュリティを向上させることが出来ます。
ですが大抵のサイトが外部から参照するようにはなってないと思いますのでDENYでも大丈夫だとは思います。

たった一行でセキュリティが向上できるので機会があればとりあえず書いておくというのもアリだと思います。

セキュリティー　