自分のサイトが他のサイトのインラインフレームで表示されないように対策する方法(クリックジャッキング攻撃対策)

ネットの世界には,いろいろな攻撃方法があるようです.

その一つが,「クリックジャッキング攻撃」です.

クリックジャッキング攻撃は,ユーザを,視覚的にだます手口です.

具体的には,透明で見えないボタンやリンクを、通常のWebページの上にかぶせてしまうというものです.

つまり,ユーザーが,ウェブページ「A」へのリンクをクリックしたつもりが,実際は,別のウェブページ「B」へのリンクをクリックさせられる,ということになります.

参考リンク:IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート~クリックジャッキング攻撃

このクリックジャッキング攻撃に対策するには,「.htaccess」ファイルに,以下の内容を記述するのが手っ取り早いです.

フレーム内のページ表示を全ドメインで禁止したい場合

Header always append X-Frame-Options DENY 

フレーム内のページ表示を同一ドメイン内のみ許可したい場合

Header always append X-Frame-Options SAMEORIGIN 

フレーム内のページ表示を指定ドメインのみ許可する場合

Header always append X-Frame-Options ALLOW-FROM http://example.jp

以上,豆知識でした.