▼AP令和3年度春期:問37 Webサイトにおいて、クリックジャッキング攻撃の対象に該当するものはどれか。
ア HTTPレスポンスヘッダに X-Content-Type-Options を設定する。
イ HTTPレスポンスヘッダに X-Frame-Options を設定する。
ウ 入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える。
エ 入力文字数が制限を超えているときは受け付けない。
▼上に出てきた用語の意味
【クリックジャッキング clickjacking】Web閲覧者への攻撃手法。攻撃用ページの上に透明表示に細工した外部サイトを重ねて表示し、外部サイト上で利用者に意図しない操作を行わせる手法。
対策:攻撃に悪用されないようHTTPヘッダの「X-Frame-Options」を必ず指定する。外部サイトのiframe内に表示させない。(IT用語辞典 e-Words)
【HTTPヘッダ HTTP header】Webコンテンツの伝送に用いられるHTTP。メッセージの前半にある制御情報を記した領域のこと。WebサーバやWebブラウザが相手方に伝えたい情報を格納する部分で、利用者の目には直接触れない。
クライアントがサーバへ要求(HTTPリクエスト)を送り、これに応じてサーバがクライアントへ応答(HTTPレスポンス)を返すという形でデータのやり取りが行われる。(IT用語辞典 e-Words)
【HTTPレスポンス HTTP response】要求を受けたサーバがクライアントへ返す応答メッセージのこと。ヘッダにはクライアントからの要求に対する応答(ステータスコード)と、要求された資源についての属性情報(メタ情報)などが記述される。送信するファイルなどの種類やデータ形式(Content-Typeフィールド)、データ長(Content-Lengthフィールド)など資源に関する情報や、サーバの名称やバージョン(Serverフィールド)などの情報が含まれる。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
61. 情報セキュリティ >(4) 攻撃手法〔用語例〕クリックジャッキング
▼比較:FEのシラバスでの位置付け
1.情報セキュリティ >(7)攻撃手法〔用語例〕クリックジャッキング
解答イ