問題タブ [clickjacking]

ASP/Silverlight アプリケーションがあります。iframeにロードしたくありません。(クリックジャッキングの回避) Google で調べたところ、そのようなアクティビティを回避するには、x-frame-options を SAMEORIGIN または DENY に設定する必要があることがわかりました。私は Web 開発が初めてなので、この設定をどこに追加すればよいか混乱しています。

最近侵入テストを受けたアプリを作成しました。アプリケーションの X-Frame オプションを SAMEORIGIN に設定する必要があります。これはクリックジャッキングを防ぐためです。これは App.yaml ファイルで可能だと思いますが、このようなものを実装する方法がわかりません。ドキュメントをスキャンしましたが、拒否する方法がわかりません。許可するだけです。

私は iframe とクリックジャッキングに関して多くのことを読んできましたが、探している情報を見つけることができませんでした。以下の質問について教えていただけますか？

Iframe クリックジャッキングはどのように拡散するのですか? ローカル マシンでの html コードの編集について言及している記事をたくさん見てきましたが、同じように、非表示のボタンを追加することでユーザーのクリックを乗っ取ることができます。ただし、これはユーザーのローカル マシンで変更されたロジックです。この同じコードをクラウドにプッシュして、そのポータルにログインまたは使用しているすべてのユーザーに影響を与えることは可能ですか? はいの場合、どのように？

自分の Web サイトで Iframe オプションを有効にすると、自分のページが他の Web サイトに Iframe として読み込まれ、悪用される可能性があるため、セキュリティ上のリスクがあります。また、セキュリティで保護されたデータがある場合、エンド ユーザーがその Web サイトに誤ってアクセスすると、データがハッキングされます。これはセキュリティ上の問題であるため、常に Iframe を許可しないことをお勧めしますが、それでよろしいですか? その他のセキュリティ リスクはありますか。

他にリスクがあれば追記してください。

フォームを含むドメインのページを不明なドメインのページに埋め込んで、そのページの他の要素から DOM イベントを検出できるようにすることは可能ですか?

私が調査しようとしている問題は、悪意のある人物がページを埋め込み、埋め込みフォームの上に透明なフォームを配置することです (いわゆるクリックジャッキング)。

問題は、フォームがサードパーティの Web サイトに埋め込まれることを意図しているため、X-Frame-Option ヘッダーを使用して制限できないことです。ユーザーにドメインを登録するように依頼しても、悪意のあるユーザーがドメインを登録するだけで済みます!

したがって、keydown などの DOM イベントがフォーム コンポーネントに伝播するのを妨げられているかどうかを検出する方法を探していますが、クリア フォーム オーバーレイは兄弟要素であり、iframe の範囲外になるのではないかと心配しています。これを行う方法。

フレームバスティングの概念（ただし、埋め込みはフレーム内にあることを意図しています）と特定のドメインへのアクセスを制限する概念（ただし、前述のように、これは役に立ちません）を理解していますが、誰かが埋め込みを許可した経験があるかどうか疑問に思いますフォームの概要と、埋め込まれたフォームを保護する方法。

クリックジャッキング攻撃に対抗するために、Tomcat で HttpHeaderSecurityFilter フィルターを有効にしようとしています。これをすべてのアプリケーションに適用したいので、Tomcat 自身の conf/web.xml ファイルで、このフィルターのデフォルトの <filter> および <filter-mapping> エントリーのコメントを外しました。

私が知る限り、これはTomcatによって完全に無視されているようです。conf/web.xml ファイルをアプリ自体のファイルとマージした後、Tomcat がアプリに使用する効果的な web.xml ファイルを確認するために、次のように META-INF/context.xml ファイルを Web アプリの 1 つに追加しました。

結果の catalina.log の出力は、conf/web.xml からのフィルター エントリが欠落していることを除いて、有効に見えます (両方のファイルのコンテンツがマージされます)。そこに独自の追加フィルター エントリを導入しようとしましたが、それらも有効な web.xml に表示されないことがわかりました。

HttpHeaderSecurityFilter フィルターとフィルター マッピング エントリを Web アプリ自体の web.xml ファイルにコピーすると、問題なく動作します (しかし、これは明らかに私が望んでいるものではありません!)

Tomcat が conf/web.xml のフィルター エントリを尊重するようにするためのトリックはありますか?

最終的には、Tomcat 7 と 8 の両方でこれが機能する必要があります (組み込みフィルターは Tomcat 7.0.63 でのみ追加されたことを認識しています)。

いくつかのさまざまなイベントを満たす安らかな API を開発しています。Nessus 脆弱性スキャンを実行して、セキュリティ リークを確認しました。クリックジャッキングにつながるリークがいくつかあることが判明し、解決策を見つけました。x-frame-options問題を処理するためにasを追加しSAMEORIGINました。

ここでの私の質問は、私は API であるため、クリックジャッキングを処理する必要があるかということです。サードパーティのユーザーは iframe を介して API にアクセスできるはずであり、これを処理する必要はないと思います。

私は何かが恋しいですか？あなたのアイデアを教えてください。

これX-Frame-Options: DENYは、他の Web サイトが に自分自身を埋め込むのを防ぐハンマー方法でありiframe、「クリックジャッキング」として知られる攻撃を実行できなくします。

ただし、単に Web を殺すだけX-Frame-Optionsでなく、他のシナリオでは明らかに役に立ちません。

私が自分のサイトの iframe に信頼できないソースを埋め込んでいる場合はどうなりますか? そして、そのような信頼できないソースを 内に配置します。iframeそのような iframe は、自分の視覚要素に直接害を及ぼす可能性がありますか?

以下は、私が話していることの簡単な例です。

それとも、 http://example.com/untrustedの運営者が私のページに成功した攻撃ベクトルを形成できますか? 探すものはありますか？