Web ページの透過表示機能などを悪用することで、ユーザに意図しないクリック動作をさせる「クリックジャッキング」と呼ばれる攻撃手法が知られています。この対策のひとつとして、Web サイト側があらかじめHTTP レスポンスヘッダに X-FRAME-OPTIONS ヘッダを含めておき、Web ブラウザがこの値を解釈することにより、クリックジャッキングを防止する手法があります。

Internet Explorer 8 をはじめとして Mozilla Firefox、Apple Safari、Google Chrome、Opera など多くの Web ブラウザの最新版が X-FRAME-OPTIONS ヘッダを認識するようになっています。

Web サイト側で X-FRAME-OPTIONS ヘッダを活用することで、クリックジャッキングへの対応が可能となる環境が整ってきています。ぜひ、Web サイト側での対応を検討してください。

参考文書（日本語）

• JPCERT/CC
  クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜 (Version 2)
  https://www.jpcert.or.jp/ed/2009/ed090001.pdf

参考文書（英語）

• OWASP
  Clickjacking
  http://www.owasp.org/index.php/Clickjacking

• Opera
  Web specifications support in Opera Presto 2.6
  http://www.opera.com/docs/specs/presto26/

• Mozilla Develper Center
  The X-Frame-Options response header
  https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

Weekly Report 2010-09-24号 に掲載