《記事番号:38》 2016-06-03 16:50:54
最近の、別の記事を探す
【タイトル】
クリックジャッキング対策のX-Frame-Optionsヘッダフィールド
【キーワード】
クリックジャッキング,レスポンスヘッダ,iframe,frame,共用SSL,https
【内容】
をSAMEORIGINでHTTPレスポンスヘッダに出力している場合、同じ共用SSL証明書を使って、httpsでアクセスする第3者からiframeでの読み込みが可能になる。
httpsで始まるurlが以下のようなケースです。
https://ss1.xrea.com/www.pc462.com/cgi-bin/ez_Fmaildemo/
https://ss1.xrea.comが共通のSAMEORIGINで
独自ドメインがディレクトリとして記述されるケースです。
上記の言い換えですが、サイト内を全部相対参照で書いていて、そのサイトが共用SSL使用可能なら、X-Frame-OptionsヘッダフィールドがSAMEORIGIN指定の時、クリックジャッキングにあう可能性があるということです。そのサイトで共用SSLを全く使う意思がなくても。
テスト用のソース:tps.htmの内容 タグは全角で書いています。
・・・・・・・・・・・
<style type="text/css">
<!--
iframe.hist {
height: 1000px;
width: 100%;
border-width: 0px;
margin: 0px;
padding: 0px;
}
body {
padding:0;margin:0;
}
-->
</style>
・・・・・・・・・・・・・・
<iframe src="https://ss1.xrea.com/www.pc462.com/index.php" name="foo" class="hist" onLoad="javascript:alert(foo.document.body.innerText)"></iframe>
・・・・・・・・・・・・・・
tps.htmを
https://ss1.xrea.com/pc46z.s602.xrea.com/cgi-bin/tps.htm
で呼び出します。
www.pc462.com/index.phpはX-Frame-OptionsヘッダフィールドでSAMEORIGIN指定しています。
対策は別記事にします。
IPAのクリックジャッキング対策は以下のpdfの43ページです。
http://www.ipa.go.jp/files/000017316.pdf
【タイトル】
クリックジャッキング対策のX-Frame-Optionsヘッダフィールド
【キーワード】
クリックジャッキング,レスポンスヘッダ,iframe,frame,共用SSL,https
【内容】
をSAMEORIGINでHTTPレスポンスヘッダに出力している場合、同じ共用SSL証明書を使って、httpsでアクセスする第3者からiframeでの読み込みが可能になる。
httpsで始まるurlが以下のようなケースです。
https://ss1.xrea.com/www.pc462.com/cgi-bin/ez_Fmaildemo/
https://ss1.xrea.comが共通のSAMEORIGINで
独自ドメインがディレクトリとして記述されるケースです。
上記の言い換えですが、サイト内を全部相対参照で書いていて、そのサイトが共用SSL使用可能なら、X-Frame-OptionsヘッダフィールドがSAMEORIGIN指定の時、クリックジャッキングにあう可能性があるということです。そのサイトで共用SSLを全く使う意思がなくても。
テスト用のソース:tps.htmの内容 タグは全角で書いています。
・・・・・・・・・・・
<style type="text/css">
<!--
iframe.hist {
height: 1000px;
width: 100%;
border-width: 0px;
margin: 0px;
padding: 0px;
}
body {
padding:0;margin:0;
}
-->
</style>
・・・・・・・・・・・・・・
<iframe src="https://ss1.xrea.com/www.pc462.com/index.php" name="foo" class="hist" onLoad="javascript:alert(foo.document.body.innerText)"></iframe>
・・・・・・・・・・・・・・
tps.htmを
https://ss1.xrea.com/pc46z.s602.xrea.com/cgi-bin/tps.htm
で呼び出します。
www.pc462.com/index.phpはX-Frame-OptionsヘッダフィールドでSAMEORIGIN指定しています。
対策は別記事にします。
IPAのクリックジャッキング対策は以下のpdfの43ページです。
http://www.ipa.go.jp/files/000017316.pdf
ブラウザに関するTips
ブラウジングに関する話なので、雑談部屋でなく、失敗から学ぶPHPページに入れておきます。
【 IE9 】
Windows7のTipsですが、IE9に分類しておきます。
Microsoft-ブラウザ上のリンク先を新規にタブで開く
私は今まで、テキストリンクを別タブで開くときは右クリックから行っていましたが、この方法が早いです。
後、私はお気に入りバーを好んで使っていますが、その中のタブを出すのに、新規タブをクリックしてから、お気に入りバーをクリックしていましたが、お気に入りバーからドラッグする事で簡単に別タブで開くことができるようになりました。
【 IE9 】
Windows7のTipsですが、IE9に分類しておきます。
Microsoft-ブラウザ上のリンク先を新規にタブで開く
私は今まで、テキストリンクを別タブで開くときは右クリックから行っていましたが、この方法が早いです。
後、私はお気に入りバーを好んで使っていますが、その中のタブを出すのに、新規タブをクリックしてから、お気に入りバーをクリックしていましたが、お気に入りバーからドラッグする事で簡単に別タブで開くことができるようになりました。
検索
更新履歴
追加・更新されたブロックの内容を自動的に表示しています。
メニュー
このサイトは
XOOPSのブロック管理の考え方を参考にして作った自作ツールで作成しています。
このサイトは、全ページどのページからでもリンクフリーです。
このサイトは、全ページどのページからでもリンクフリーです。
VECTORから公開中
2012/01/17 いーじー・フリーメールを 国内最大級の フリーソフト ダウンロードサイトVECTORから公開中
デモ版使用はここをクリック
詳細は以下のVECTORページからご覧ください。
いーじー・フリーメールの詳細情報
デモ版使用はここをクリック
詳細は以下のVECTORページからご覧ください。
いーじー・フリーメールの詳細情報
