クリックジャッキングの例

ログインしたユーザーが「今すぐ購入」をクリックしてアイテムを購入できるページがオンラインストアにあるとします。 ユーザーは、便宜上、常にストアにログインしたままにすることを選択しました。 攻撃者のサイトは、自分のページの1つに「ILike Ponies」ボタンを作成し、ストアのページを透明なiframeにロードして、「BuyNow」ボタンが「ILikePonies」ボタンに見えないようにオーバーレイされるようにする可能性があります。 ユーザーが攻撃者のサイトにアクセスした場合、「I Like Ponies」をクリックすると、「今すぐ購入」ボタンが誤ってクリックされ、知らないうちにアイテムが購入されます。

クリックジャッキングの防止

最新のブラウザは、リソースがフレームまたはiframe内でロードできるかどうかを示す X-Frame-Options HTTPヘッダーを尊重します。 応答にSAMEORIGINの値のヘッダーが含まれている場合、ブラウザーは、要求が同じサイトから発信された場合にのみ、フレーム内のリソースをロードします。 ヘッダーがDENYに設定されている場合、ブラウザーは、どのサイトがリクエストを行ったかに関係なく、リソースがフレームに読み込まれないようにブロックします。

Djangoは、サイトからの応答にこのヘッダーを含めるいくつかの方法を提供します。

1. すべての応答でヘッダーを設定するミドルウェア。
2. ミドルウェアをオーバーライドしたり、特定のビューのヘッダーのみを設定したりするために使用できるビューデコレータのセット。

X-Frame-Options HTTPヘッダーは、応答にまだ存在しない場合にのみ、ミドルウェアまたはビューデコレータによって設定されます。

それを使用する方法

MIDDLEWARE = [
    ...
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ...
]

X_FRAME_OPTIONS = 'SAMEORIGIN'

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt

@xframe_options_exempt
def ok_to_load_in_a_frame(request):
    return HttpResponse("This page is safe to load in a frame on any site.")

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin

@xframe_options_deny
def view_one(request):
    return HttpResponse("I won't display in any frame!")

@xframe_options_sameorigin
def view_two(request):
    return HttpResponse("Display in a frame if it's from the same origin as me.")

制限事項

X-Frame-Optionsヘッダーは、最新のブラウザーでのクリックジャッキングからのみ保護します。 古いブラウザは静かにヘッダーを無視し、他のクリックジャッキング防止技術を必要とします。