« クリックジャッキング対策 | トップページ | yum曰く「セグメンテーション違反です」 »

2013年5月 9日 (木)

続・クリックジャッキング対策

こんにちは、シーチキンマヨネーズは史上最強ですね。時代を超越して、今後もごはんに塗られ続けることでしょう。
ところで、クリックジャッキング対策の続きです。

もし"X-FRAME-OPTIONS"ヘッダに対応していないブラウザを利用していて、変えることができないユーザーを考慮するなら、以下の代替策もいいと思います。


if (window.self != window.top)
window.top.location = window.self.location;


「もし自身のページと親ページのウインドウが異なれば、自身のページでリダイレクトする」の意


これ、なにげに強力です。
"X-FRAME-OPTIONS"は許容条件外のフレーム使用がおこなわれると、自身のページを表示しなくなりますが(それによって不正利用を防止する)、これは自身のページでリダイレクトし直すという、もっとアグレッシブでサディスティックでアトミックな挙動になります。

ユーザーに不正利用の温床の存在すら知らせない(すぐにリダイレクトしてフレーム内のサイトが親ページとして表示され直されるので)という、ユートピア追求型です。

場合によっては、不正利用しようとしている側からすれば、何度アクセスしてもリダイレクトされて存在をニフラムされてしまうことにいきり立って、攻撃心が刺激され、オームの赤い目をしながら、あの手この手でハックしにかかってくるかもしれません。
この場合、つまり相手のサディズムが「強制リダイレクト」というサディズムをうわまわるかどうかにかかってきますね。

まあ、滅多にいないと思いますが。
そういうサリーちゃんのパパみたいなひとの対策も踏まえるなら、やはり"X-FRAME-OPTIONS"ヘッダで、つつましく大和撫子型の防衛網を敷くのがよろしいのではないかと存じます。

|

« クリックジャッキング対策 | トップページ | yum曰く「セグメンテーション違反です」 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/90008/51556140

この記事へのトラックバック一覧です: 続・クリックジャッキング対策:

« クリックジャッキング対策 | トップページ | yum曰く「セグメンテーション違反です」 »