Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。
| ア | HTTPレスポンスヘッダーにX-Content-Type-Optionsを設定する。 |
| イ | HTTPレスポンスヘッダーにX-Frame-Optionsを設定する。 |
| ウ | 入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換える。 |
| エ | 入力文字数が制限を超えているときは受け付けない。 |
答え イ
【解説】
| ア | HTTPレスポンスヘッダーのX-Content-Type-Optionsはコンテンツの種類の決定方法を指示するためのヘッダーで、これを設定するのはクロスサイトスクリプティング(Cross Site Scripting、XSS)攻撃の対策です。(×) |
| イ | HTTPレスポンスヘッダーのX-Frame-Optionsはフレーム内でのコンテンツの表示を許可するか否かを指示するためのヘッダーで、これを設定するのはクリックジャッキング攻撃の対策です。(〇) |
| ウ | 入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換えるのは、サニタイジング(sanitizing)です。(×) |
| エ | 入力文字数が制限を超えているときは受け付けないのは、バッファオーバーフロー(Buffer Over Flow、BOF)攻撃の対策です。(×) |
【キーワード】
・クリックジャッキング攻撃
- クリックジャッキング攻撃(clickjacking attack)
外見上は無害に見えるWebページをクリックしている間にウェブ利用者をだまして秘密情報を入力させたり、Webページの利用者のコンピュータを支配する技術です。
もっと、「クリックジャッキング攻撃」について調べてみよう。
戻る
一覧へ
次へ