脳log[20170705]

2017年07月05日 (水) 「Webエンジニアだったら当然知っておきたい「 クリックジャッキング対策 」とは？ | ヌーラボ」■言葉や図からなんとなくイメージしてたのと、主従が逆だった。上から覆い被さって操作を横取りするのではなく、外部の操作対象のページを透明化して上から被せるのだった。■これで何のハードルが越えられるのだろう。CSRFならブラウザが持つクッキーやログインセッションがユーザーの意図しないページ遷移によって悪用されるわけだけど(※望まないシングルサインオンも同じよな>20150702)、ユーザーの意図しないクリックが何を可能にするのだろう。■iframe内の要素って iframe外のスクリプト(マウス操作のエミュレート)から守られてるんだろうか。またその逆は？■キーワード。「X-Frame-Optionsヘッダ」「sandbox属性」■同一生成元ポリシーなんかだと基本は安全で、効率のために分散したり寄せ集めたりしたい人間があえて穴を開ける(開けすぎる)までは問題にならないと思ってるんだけど、クリックジャッキングは対策しておかない限り悪用される可能性があるようにみえる。1-Click購入ボタンは設置するのが大変に難しいってこと。