2021年 春期 応用情報技術者 午前 問37

Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。

 ア  HTTPレスポンスヘッダにX-Content-Type-Optionsを設定する。
 イ  HTTPレスポンスヘッダにX-Frame-Optionsを設定する。
 ウ  入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換える。
 エ  入力文字数が制限を超えているときは受け付けない。


答え イ


解説

 ア  HTTPレスポンスヘッダのX-Content-Type-Optionsはコンテンツの種類の決定方法を指示するためのヘッダで、これを設定するのはクロスサイトスクリプティング(Cross Site Scripting、XSS)攻撃の対策です。(×)
 イ  HTTPレスポンスヘッダのX-Frame-Optionsはフレーム内でのコンテンツの表示を許可するか否かを指示するためのヘッダで、これを設定するのはクリックジャッキング攻撃の対策です。(〇)
 ウ  入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換えるのは、サニタイジング(sanitizing )です。(×)
 エ  入力文字数が制限を超えているときは受け付けないのは、バッファオーバフロー(Buffer Over Flow、BOF)攻撃の対策です。(×)


キーワード
・クリックジャッキング攻撃

キーワードの解説
  • クリックジャッキング攻撃(clickjacking attack)
    外見上は無害に見えるWebページをクリックしている間にウェブ利用者をだまして秘密情報を入力させたり、Webページの利用者のコンピュータを支配する技術です。

もっと、「クリックジャッキング攻撃」について調べてみよう。

戻る 一覧へ 次へ