web-dev-qa-db-ja.com

クリックジャッキング攻撃から保護し、正当なiframeを許可する方法は?

X-Frame-Optionsヘッダーやフレームキラースクリプトなどの最新のアンチクリックジャッキングアプローチを知っています。しかし、これらのすべての戦術は、コンテンツがiframe内に入るのを防ぎます。しかし、Twitterの「フォロー」ボタンやFacebookの「いいね」ボタンなど、コンテンツがiframe内にある必要がある場合はどうでしょうか。このようなiframeをクリックジャッキングから保護する方法は?

12

共有ボタンはしばしば CSRFから保護するためのiframe を使用します。このコンテキストでは、CSRFとClickJackingには同じ影響があり、「 LikeJacking 」と呼ばれることもあります。 CSRFに脆弱であることを選択する必要があります[〜#〜]または[〜#〜]iframeを使用してCSRFを防止できますが、クリックジャッキングへの自己。たまたま、ClickJackingは2つの悪のうちの小さい方です。 FaceBookはこの論理的な問題を法的措置で解決します 。 「LikeJacking」とClickJackingを利用規約に違反し、FaceBookのように訴訟を起こすことができます。

この問題に対する技術的な解決策があるかもしれません。私はこのトピックについてGoogle Securityにメールしましたが、彼らは「Signal Analysis」を使用して動作が発生しているかどうかを判断していると述べました。これは控えめに言ってもかなりガス状の答えです。グーグルである彼らは、好きなすべてのページをスパイダーし、親ページによってSVGマスクなどの クリックジャッキングメソッド がiframeに適用されているかどうかを判断できました。しかし、これは単なる推測です。

5
rook