Apacheのセキュリティ設定 X-Frame-Optionsヘッダー設定

TT
2023-08-18
2023-08-18

クリックジャッキング攻撃という「iframe(インラインフレーム)」を使って透明なページを作成し、
別のURLへ誘導する攻撃手法があります。

クリックジャッキングに効果的な対策としましては、
HTTP応答ヘッダにX-Frame-Optionsを設定することで、
想定外のURLに対するフレームによるページの読み込みを制限することが可能です。
Apacheに設定する項目としては下記になります。

Header always append X-Frame-Options <オプション>

オプション部分が選択になります。どちらで設定するかサイトに応じて変更ください。

 DENY :フレーム内のページ表示を全ドメインで禁止
 SAMEORIGIN :フレーム内のページ表示を同一ドメイン内のみ許可
 ALLOW-FROM uri:フレーム内のページ表示を指定されたドメインに限り許可

・記述例
Header always append X-Frame-Options SAMEORIGIN


本項目も脆弱性診断の対象で指摘されることが多い項目となりますので、
適切に設定してセキュリティを高めてください。