セキュリティ実装技術(全74問中11問目)

Webサイトにおいて,クリックジャッキング攻撃の対策に該当するものはどれか。

出典:令和3年春期 問37

  • HTTPレスポンスヘッダーにX-Content-Type-Optionsを設定する。
  • HTTPレスポンスヘッダーにX-Frame-Optionsを設定する。
  • 入力にHTMLタグが含まれていたら,HTMLタグとして解釈されないほかの文字列に置き換える。
  • 入力文字数が制限を超えているときは受け付けない。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
クリックジャッキングは、攻撃者が用意したWebページの前面に透明化した別のWebページを重ねることでユーザーを視覚的にだまし、正常に視認できるWebページ上をクリックさせることで、透明化したWebページのコンテンツを操作させる攻撃です。ユーザーのクリックを奪うという攻撃の特徴からクリック・ジャッキングと呼ばれます。
37.png
  • "X-Content-Type-Options"は、ブラウザによるMIMEスニッフィングの有効・無効を指示するためのHTTPヘッダーで、値として"nosniff"を指定することがクロスサイトスクリプティングへの対策になります。
    MIMEスニッフィングとは、WebサーバからMIMEタイプ(メディアの種類)が指定されないなどの理由でリソースのMIMEタイプが不明なとき、ブラウザがリソースのバイトストリームを調べ、MIMEタイプを推定する機能です。これが有効になっていると、攻撃者がJSONや画像内に埋め込んだスクリプトを不正に実行してしまうおそれがあります。これを防止するためのヘッダーが"X-Content-Type-Options"です。
  • 正しい。"X-Frame-Options"は、フレーム要素(<frame>または<iframe>)を使用したコンテンツ表示を許可するかどうか指示するためのHTTPヘッダーで、値として"DENY(拒否)"または"SAMEORIGIN"を指定することがクリックジャッキング攻撃への対策となります。
    クリックジャッキング攻撃は、別サイトのHTMLをフレーム要素で読込み、それを透明化して罠サイトの上に重ね合わせるため、フレーム要素を使用した他サイトの表示を禁止すれば防ぐことができます。
  • クロスサイトスクリプティングへの対策です。入力値に含まれる特殊文字を無害化する処理をサニタイジングと言います。
  • バッファオーバーフロー攻撃への対策です。

Pagetop