問題タブ [clickjacking]

クリックジャッキングを防ぐために、選択したドメインでのみページをフレーミングできるように、フレームキラー スクリプトを作成しました。フレームキラー コード:

ただし、最新のブラウザはSAME ORIGIN POLICYに従って、他の Web サイト (信頼できる Web サイト) でフレームキラー スクリプトを実行できないようにします。

私の質問は、「同じオリジン ポリシーをバイパスして、別のドメインでフレームキラー スクリプトを実行する方法」です。

ありがとうございました。

Content-Security-Policy ヘッダーの構成/実装について読んだところ、それを行う 2 つの方法に出くわしました。

1. このリンクで指定されている Filter を実装するカスタム フィルタを使用する
2. メタタグの使用

この質問はこれと重複していないことに注意してください。このリンクよりも優れた解決策を探しています

（1）の欠点は、構成ファイルではなくコードを介して駆動されることです。オプション（2）の欠点は、100個のhtmlファイルがある場合、すべてのHTMLにこのタグを配置する必要があることです。(間違っていたら訂正してください) 私が探している解決策は、web.xml で構成でき、すべての html ファイルに適用できるものです。hereのように web.xml で X-Frame-Options を構成する場合に行う方法ですが、 web.xmlで Content-Security-Policy を構成する同様の方法はありませんか?

これを自分のウェブサイトに実装しようとしていますが、正しい方法を見つけることができませんでした。私の Apache/PHP Web サイトには/includes/、いくつかの基本的な JavaScript を含むフォルダーがあります。Qualys は、これらを「クリックジャッキング」に対して脆弱であると報告しています。OWASP の指示に従って、使用してみX-FRAME-OPTIONSました。そうは言っても、その/includes/フォルダーの .htaccess に移動し、次を追加しました。

ただし、これにより、Web サイト上のすべての JavaScript が無効になったため、元に戻す必要がありました。誰かがこれを適切に実装するのを手伝ってくれますか? 前もって感謝します。

ColdFusion 11 を使用して作業している Web サイトのクリックジャッキングの脆弱性を解決しようとしています。しかし、本番サイトの URL パターンに問題があるようです。今私は持っています：

最初の部分がデフォルトですが、当サイトではフレームを使用しないので、それ以外はデフォルトで拒否したいと思います。

私が直面している問題は、URL パターンを正しく取得できないように見えることです。私の開発サーバーでは、「http://localhost/abc」を使用して作業中のバージョンにアクセスしています。ただし、本番サイトでは、URL は「https://abc.def.xyz.com」のパターンに従います。上記のように「ABC」を URL パターンとして使用すると、開発サイトでは機能しますが、運用サイトでは機能しません。したがって、URLパターンの設定方法について明らかに何かが欠けています。/* を使用しただけでは、管理者を含むすべてをロックダウン (拒否) することになると思いますが、これは私が望んでいるものではありません。

普段はサーバーの設定などをしなくてもいいのですが、やっている人が事故に遭って入院しているので放置です。これを機能させるために正しい URL パターンを設定する方法について何か考えはありますか?

ありがとう。

アプリケーションのセキュリティ脅威を検出するために webinspect アプリケーションを実行しています。検出された脅威の 1 つは (クロスフレーム スクリプティング) で、(X-Frame-Options) ヘッダーを (SAMEORIGIN) に追加することで修正しました。ここで、webinspect を再実行すると、(クロス フレーム スクリプティング) が引き続き検出され、次のメッセージが報告されます。

このページをフレーム内にロードする際に、効果的なフレームバスティング手法は観察されませんでした

多くのブロック バスティング コードを使用しましたが、同じ問題が解決しません。次のブロックキラーを試しました：

初挑戦：

2 回目の試行:

3 回目の試行: