• RSS

Zenlogicサーバーでクリックジャッキング対策を無効化

  • このエントリーをはてなブックマークに追加
  • follow us in feedly

ファーストサーバーのギガシリーズで共用SSLを使っていたページを、Facebookページのタブにiframeとして表示させていたのですが、Zenlogicに移行してから何故かiframe内のページが表示されなくなったので調べてみました。

Facebookページのiframeの中身が表示されない

Facebookアプリのページへアクセスすると、このようなエラー画面が表示されてしまいました。
Zenlogicサーバーでクリックジャッキング対策を無効化

原因はクリックジャッキング対策によるもの

調べてみると、どうやらZenlogicサーバーに標準で有効になっているクリックジャッキング対策が影響しているようでした。

ちなみに、クリックジャッキング対策とは

ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法
https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0

とのことで、https://noumenon-th.net/programming/2016/02/20/clickjackingのページにも具体的な攻撃例が紹介されていますが、iframeを使うとことでセキィリティ上、重大な問題を引き起こしてしまう可能性があるようです。


クリックジャッキング対策を回避する

セキュリティ上のリスクは出てくると思いますが、どうしてもZenlogicのクリックジャッキング対策を回避したい場合は、.htaccessに以下の記述を追加します。



  • このエントリーをはてなブックマークに追加
  • follow us in feedly

コメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください