概要
| 脆弱性名(Ja) | 「X-Frame-Options」ヘッダーがありません |
| 脆弱性名(En) | Missing ‘X-Frame-Options’ Header |
| ID | 98060 |
| 危険度 | Low |
| ファミリー | HTTP Security Header |
説明
X-Frame-Optionsヘッダーは、ウェブページをiframe内に埋め込むことを制御するためのHTTPレスポンスヘッダーです。
これを使用すると、他のサイトが自分のページをフレーム内で表示するのを防ぎ、クリックジャッキング攻撃を回避できます。
クリックジャッキングとは、悪意あるサイトが透明なフレームを利用して、ユーザーを騙し、意図しない操作を実行させる攻撃手法です。
iframeとは↓のようなWebページを読み込んで表示するHTMLタグです。
↓X-Frame-Optionsヘッダーが存在する場合、エラーになります。
リスク
「X-Frame-Options」ヘッダーが設定されていない場合、外部の悪意あるサイトが自サイトをフレーム内に埋め込み、クリックジャッキング攻撃を行うリスクがあります。
ユーザーが意図しない操作を実行させられたり、機密情報が漏洩したりする可能性があります。
検出トリガー
- HTTPレスポンスに「X-Frame-Options」ヘッダーが存在しない
NG: <出力なし>
OK: X-Frame-Options: DENY
OK: X-Frame-Options: SAMEORIGIN対策
Apacheの設定
Apacheサーバーで「X-Frame-Options」ヘッダーにcharsetを追加するには、以下の行を「.htaccess」またはサーバー設定に追加します。
Header always set X-Frame-Options "DENY"Nginxの設定
NginxでX-Frame-Optionsを設定するには、以下の設定をNginxの設定ファイルに追加します。
add_header X-Frame-Options "DENY";サーバー設定ファイルにこの行を追加し、フレーム内でのレンダリングを禁止します。また、特定のサイトのみ許可する場合は、SAMEORIGINやALLOW-FROMを適用できます。
関連リンク
危険度が脆弱性ツールによって異なる場合があります。