第20問
情報セキュリティへの脅威としてのクリックジャッキング攻撃およびその対策に 関する記述として、最も適切なものはどれか。
- ア Web ページに出力するすべての要素に対して、エスケープ処理を実施するこ とで、クリックジャッキング攻撃を防止することができる。
- イ Web ページのHTTP レスポンスヘッダにX-Frame-Options ヘッダフィールド を出力しないことが、クリックジャッキング攻撃への対策となる。
- ウ リックジャッキング攻撃とクロスサイト・リクエスト・フォージェリに共通 する対策がある。
- エ リックに応じた処理を実行する直前のページで再度パスワードの入力を求 め、再度入力されたパスワードが正しい場合のみ処理を実行することが、クリッ
- オ ジャッキング攻撃とクロスサイト・スクリプティングで共通の対策となる。 DKJC-1F
▼ 解答・解説を見る
正解:ウ
解答:ウ
クリックジャッキング攻撃(透明な別ページを重ね、利用者に意図しないクリックをさせる攻撃)とその対策を問う。
- ア(×):すべての出力要素へのエスケープ処理はクロスサイト・スクリプティング(XSS)対策であり、クリックジャッキングは防げない。
- イ(×):逆である。クリックジャッキング対策はHTTPレスポンスヘッダに
X-Frame-Optionsを「出力する」ことで、自ページが他サイトのフレームに埋め込まれるのを防ぐ。「出力しない」では対策にならない。 - ウ(○):処理実行直前に再度パスワード入力(または確認操作)を求めて意図を確認する対策は、利用者の意図しない操作を防ぐ点でクロスサイト・リクエスト・フォージェリ(CSRF)対策とも共通する。クリックジャッキングとCSRFには共通する対策があり、正しい。
- エ(×):クリックジャッキングとXSSは攻撃原理が異なり、上記の確認操作はXSSの共通対策とはならない。組み合わせる相手が誤り。
よって ウ。