設問3 【サイトXのクリックジャッキング脆弱性】について、(1),(2)に答えよ
(1)本文中の(c)〜(h)に入れる適切な字句を、それぞれの解答群の中から選び、記号で答えよ。
クリックジャッキングとは、ある画面の上に攻撃者が用意した別画面を被せることで、利用者を騙す攻撃です。
問題文の内容を照らし合わせると、画面αを透明にして、画面βの上に重ねることになります。
解答
(c)β(d)奥(e)可視の(f)α(g)手前(h)透明な
(2)本文中の(i)、(j)に入れる適切な字句を、解答群の中から選び、記号で答えよ。
解答:(i)X-Frame-Options、(j)Content-Security-Policy
クリックジャッキング脆弱性の対策には、以下の2点があります。
- HTTPレスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからのframe要素やiframe要素による読み込みを制限する。
- 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。
1点目のiframe要素の読み込みについては、Content-Security-Policyも有効です。
こちらは標準化されています。
