X-Frame-Optionsの設定は、クリックジャッキング攻撃の対策を行うことが可能です。
本記事では、クリックジャッキング攻撃の基礎知識と具体的な対策方法について案内します。
01クリックジャッキングの基礎知識
1.1 クリックジャッキング攻撃とは
クリックジャッキングとは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせる等、訪問者の意図しない操作をするよう誘導させる攻撃手法です。
例えば、ボタンやリンク等を透明で見えない状態にし、通常のWebサイトとかぶせることによって、Web訪問者の意図しない悪意のあるサイトに遷移してしまう、あるいは埋め込まれたコードを実行させられてしまうことがあります。
図1.クリックジャッキング攻撃の例 |
具体的には、悪意のあるサイトから「iframe(インラインフレーム)」等のHTMLタグを使って、通常のWebページを呼び出すことで、指定したURLリンク先のページ内容を、現在表示しているページの一部分であるかのように表示させることができます。
図2.クリックジャッキング攻撃の仕組み例 |
1.2 X-Frame-Optionsとは
通常のWebサイト側で予めHTTPレスポンスヘッダに X-Frame-Options を指定することで、
Web ブラウザが別ページ中のframeタグやembedタグ、objectタグから、通常のWebサイト情報を参照して埋め込み表示するのを許可するかどうか指定するもので、クリックジャッキングを防止する対策手法です。
図3.X-Frame-Optionsの例 |
02SMPでのクリックジャッキング攻撃対策について
2.1 SMPでのクリックジャッキング攻撃対策
SMPでは、外部のページ内からSMPの画面を呼び出すことに対して制御をかけ、表示できないようにするといったクリックジャッキング攻撃対策が設定できます。
図4.SMPでのクリックジャッキング攻撃対策 |
2.2 影響範囲の調査方法
SMPにてクリックジャッキング攻撃対策をするためには、
現在のお客様の設定を確認いただいたうえで、設定する必要がございます。
以下、お客様の設定をご確認の上、「2.3対策の設定方法」にお進みください。
- お客様のSMPのシステム設定一覧で設定されている値を確認します。
全キャンペーン>サイドメニュー:設定>システム設定一覧
確認する項目:X-Frame-Options - 外部サイトでのSMPの使用状況の確認をします。
①SMPで作成した申込フォームを外部サイトに埋め込んでいるか。
②①に該当する場合、以下のタグを使用して申込フォームURLを呼び出しているか。
使用タグ:iframe、embed、object
※お客様の使用しているサイトの構成をご確認ください。
2.3 対策の設定方法・手順
設定方法は以下のとおりです。
全キャンペーン>サイドメニュー:設定>システム設定一覧
-
全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
- 画面内検索(CTRL+F)で「X-Frame-Options」を検索します。
- 画面上部にある「編集」リンクをクリック後、「SAMEORIGIN」を選択し、画面最下部の登録ボタンをクリックします。
- 「2.2影響範囲の調査方法」でSMPで作成したフォームを外部サイトで使用している場合は、「ALLOW-FROM」を選択し、ドメインを設定してください。
図5.システム設定一覧イメージ |
■各選択肢の説明
X-Frame-Options | 説明 |
---|---|
OFF |
外部WebサイトにてSMPページ表示できる |
SAMEORIGIN |
同一ドメイン内のみ、SMPページ表示を許可(SMP自サイト内のみ表示) |
ALLOW-FROM |
設定手順2.の一つ下にある項目 「X-Frame-OptionsがALLOW-FROM時の許可ドメイン」で指定したドメインに限り、SMPページ表示を許可 |