テクノロジ系 / セキュリティ
クリックジャッキング
クリックジャッキングは、利用者に意図しないボタンやリンクをクリックさせる攻撃です。
もう少し詳しく
透明なiframeや偽の画面を重ね、利用者には別の操作に見せかけて、実際には重要な設定変更や購入ボタンを押させます。XSSがスクリプト注入を狙うのに対し、クリックジャッキングは画面の重ね合わせや誘導でクリック操作を悪用します。
試験での見方
例:『動画を再生』ボタンに見える位置へ、実際にはSNSの許可ボタンを重ねてクリックさせます。
テクノロジ系 / セキュリティ
クリックジャッキングは、利用者に意図しないボタンやリンクをクリックさせる攻撃です。
透明なiframeや偽の画面を重ね、利用者には別の操作に見せかけて、実際には重要な設定変更や購入ボタンを押させます。XSSがスクリプト注入を狙うのに対し、クリックジャッキングは画面の重ね合わせや誘導でクリック操作を悪用します。
例:『動画を再生』ボタンに見える位置へ、実際にはSNSの許可ボタンを重ねてクリックさせます。
対策はX-Frame-OptionsやContent-Security-Policyのframe-ancestorsなど、ページを他サイトのフレーム内に表示させない設定が中心です。