クリック・ジャッキング

クリックジャッキング

読み：くりっくじゃっきんぐ
英語：clickjacking
別名：クリックジャッキング攻撃
種類：攻撃手法

意味：
クリックジャッキングとは、視覚的に正常に見えるページに別のサイトのページを埋め込み、ユーザを騙してリンクなどクリックさせる攻撃方法のこと。
ユーザは正常なサイトと思い込んで操作してしまうため、意図せず不正な操作や情報漏洩が発生します。

手法としてFlashやiframeで分かりにくい様にクリックさせるページを紛れ込ませる。CSSなどによって透明なページをかぶせ表示された意味と違う操作をさせてしまうなどの方法が存在する。

単純にJavaScriptを作動させないようにしただけでは防げないので注意が必要である。

対策として、X-Frame-Optionsレスポンスヘッダを用いる方法などがある。

2015年11月19日

• X-Frame-Options?
• CSP?

• iframe?

• セキュリティ