Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。
ア | HTTPレスポンスヘッダーにX-Content-Type-Optionsを設定する。 |
イ | HTTPレスポンスヘッダーにX-Frame-Optionsを設定する。 |
ウ | 入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換える。 |
エ | 入力文字数が制限を超えているときは受け付けない。 |
答え イ
【解説】
ア | HTTPレスポンスヘッダーのX-Content-Type-Optionsはコンテンツの種類の決定方法を指示するためのヘッダーで、これを設定するのはクロスサイトスクリプティング(Cross Site Scripting、XSS)攻撃の対策です。(×) |
イ | HTTPレスポンスヘッダーのX-Frame-Optionsはフレーム内でのコンテンツの表示を許可するか否かを指示するためのヘッダーで、これを設定するのはクリックジャッキング攻撃の対策です。(〇) |
ウ | 入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換えるのは、サニタイジング(sanitizing)です。(×) |
エ | 入力文字数が制限を超えているときは受け付けないのは、バッファオーバフロー(Buffer Over Flow、BOF)攻撃の対策です。(×) |
【キーワード】
・クリックジャッキング攻撃