クリックジャッキングとは？

Web サイトに隠ぺい・偽装したリンクやボタンを配置し、閲覧者を視覚的にだましてクリックさせる攻撃方法。

攻撃による発生しうる脅威

• ログイン後の利用者のみが利用可能なサービスの悪用
• ログイン後の利用者のみが編集可能な設定の変更

対策方法

• HTTP レスポンスヘッダに、X-Frame-Options ヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
• 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。
• 重要な処理は、一連の操作をマウスのみで実行できないようにする。