0

ColdFusion 11 を使用して作業している Web サイトのクリックジャッキングの脆弱性を解決しようとしています。しかし、本番サイトの URL パターンに問題があるようです。今私は持っています:

<filter-mapping>
    <filter-name>CFClickJackFilterSameOrigin</filter-name>
    <url-pattern>/CFIDE/administrator/*</url-pattern>
</filter-mapping>

<filter-mapping>
    <filter-name>CFClickJackFilterDeny</filter-name>
    <url-pattern>/ABC/*</url-pattern>
</filter-mapping>

最初の部分がデフォルトですが、当サイトではフレームを使用しないので、それ以外はデフォルトで拒否したいと思います。

私が直面している問題は、URL パターンを正しく取得できないように見えることです。私の開発サーバーでは、「http://localhost/abc」を使用して作業中のバージョンにアクセスしています。ただし、本番サイトでは、URL は「https://abc.def.xyz.com」のパターンに従います。上記のように「ABC」を URL パターンとして使用すると、開発サイトでは機能しますが、運用サイトでは機能しません。したがって、URLパターンの設定方法について明らかに何かが欠けています。/* を使用しただけでは、管理者を含むすべてをロックダウン (拒否) することになると思いますが、これは私が望んでいるものではありません。

普段はサーバーの設定などをしなくてもいいのですが、やっている人が事故に遭って入院しているので放置です。これを機能させるために正しい URL パターンを設定する方法について何か考えはありますか?

ありがとう。

4

1 に答える 1

0

コメントから昇格

filter-mappingオプションでは、ドメイン名の後に出現するもののみを指定できurl-pattern ます。これは開発サーバーでは機能しますが、運用サーバーでは代わりにサブドメインを使用しているようです (ドメイン名の前に発生します)。Web サーバー経由で設定を確認する必要があります。おそらくX-Frame-Options代わりにヘッダーを送信します。

OWASP Clickjacking Defense Cheat Sheet から - X-Frame-Options 応答ヘッダーによる防御

X-Frame-Options HTTP 応答ヘッダーを使用して、ブラウザが または でページをレンダリングできるかどうかを示すことができます。サイトはこれを使用して、コンテンツが他のサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます。HTML コンテンツを含むすべての応答に X-Frame-Options ヘッダーを設定します。可能な値は、「DENY」、「SAMEORIGIN」、または「ALLOW-FROM uri」です。

于 2016-11-15T12:58:55.283 に答える