アドオンをインストールせずにFirefoxでのクリックジャッキングに対する保護?
一部のワークステーションでは、FirefoxでJavaScriptを許可していません。これらのマシンにNoScriptアドオンがインストールされていますが、それを削除して、代わりにabout:configを介してJavaScriptを無効にしたいと思います。ただし、NoScriptはクリックジャックからも保護しているようです。私の知る限り、この攻撃を成功させるためにJavaScriptは必要ありません。
アドオンをインストールせずに、Firefoxでのクリックジャッキングから保護するにはどうすればよいですか?
編集:
アドオンのインストールは不要ですが、about:configで構成できるソリューションを探しています
Firefoxにはabout:configでiframeをオフにするオプションがありません。これを参照してください バグレポート 。また、この問題が最初に報告されたのは15年前であることを考えると、すぐにそのオプションが利用できる可能性は低くなります。
カスタムCSS(iframe { display: none !important; })を使用して、プラグインなしのiframeを無効にすることができます。これは、/~/.mozilla/firefox/<random-id>.default/chrome/userContent.cssのCSSファイルを介して行われます。この設定は、WebサイトのCSSを介して上書き可能であってはなりません(ただし、将来のFirefoxバージョンでは、WebサイトがカスタムCSSを上書きできるようになる可能性があります。これにより、攻撃者はこれを回避できます)。
ClickJackingはiframeなしでは不可能であるべきです(embedタグを介した方法があるかもしれませんが、私には機能しませんでした)。
個人的には、おそらく私はこのアプローチよりもNoScriptを信頼するでしょうが、プラグインをインストールしたくない場合は、これが最善の方法かもしれません。