Red Hat Summit16.5. クリックジャッキング
クリックジャッキングは、ユーザーが希望するユーザーとは異なるユーザーインターフェイス要素をクリックする手法です。悪意のあるサイトでは、対象のサイトにある重要なボタンのすぐ下にダミーのボタンが配置された、透明な iFrame に対象のサイトを読み込みます。ユーザーが表示されているボタンをクリックすると、隠されたページのボタンがクリックされます。攻撃者は、この方法を使用して、ユーザーの認証資格情報を盗み、そのリソースにアクセスする可能性があります。
デフォルトでは、Red Hat Single Sign-On の応答はすべて、これが発生することを防止できるいくつかの特定のブラウザーヘッダーを設定します。具体的には、X-FRAME_OPTIONS および Content-Security-Policy を設定します。制御できる詳細なブラウザーアクセスが多数あるため、これらのヘッダーの両方の定義を確認する必要があります。
手順
管理コンソールでは、X-FRAME_OPTIONS ヘッダーおよび Content-Security-Policy ヘッダーの値を指定できます。
- Realm Settings メニュー項目をクリックします。
Security Defenses タブをクリックします。
セキュリティー保護
デフォルトでは、Red Hat Single Sign-On は、iframes に same-origin ポリシーのみを設定します。
