基本情報技術者試験 ap-2021r03h-a 午前 問37: Webサイトにおいて，クリックジャッキング攻撃の対策に該当するものはどれか。

問題本文

Webサイトにおいて，クリックジャッキング攻撃の対策に該当するものはどれか。

選択肢

• ア.HTTPレスポンスヘッダにX-Content-Type-Optionsを設定する。
• イ.HTTPレスポンスヘッダにX-Frame-Optionsを設定する。
• ウ.入力にHTMLタグが含まれていたら，HTMLタグとして解釈されないほかの文字列に置き換える。
• エ.入力文字数が制限を超えているときは受け付けない。

正解

イ. HTTPレスポンスヘッダにX-Frame-Optionsを設定する。

解説

クリックジャッキングは，攻撃者のページに正規サイトを透明なフレーム(iframe)として重ね，利用者に気づかせないまま意図しないボタンを押させる攻撃である。対策の中心は，自サイトを他サイトのフレーム内に表示させないことで，HTTPレスポンスヘッダのX-Frame-Optionsを設定してフレーム埋め込みを禁止すればよい。よってイが正解。

選択肢ごとの解説

• ア.X-Content-Type-OptionsはコンテンツのMIMEタイプ推測(スニッフィング)を抑止するヘッダで，フレーム重ねを防ぐクリックジャッキング対策ではない。
• イ.X-Frame-Optionsで自サイトを他サイトのフレームに埋め込ませないようにするのがクリックジャッキングの対策であり，正しい。
• ウ.入力中のHTMLタグを無害な文字列に置き換える(エスケープ)のはクロスサイトスクリプティング(XSS)対策である。
• エ.入力文字数を制限するのはバッファオーバフロー等への対策であり，クリックジャッキングには直接効果がない。