「クリックジャッキング」「クロスサイトスクリプティング」とは
Webアプリケーションの脆弱性、もしくはその脆弱性を利用した攻撃のことです。
攻撃者は、悪意のあるスクリプトの入ったページに利用者を誘導し、スクリプトを実行させます。
Webページの利用者にとって意図しない動作をさせる攻撃のことです。
攻撃者は、利用者が開くWebページに透明化した悪意のあるページやボタンを重ねて、利用者にとって意図しないクリックをさせます。
ver1.12.4リリース前とリリース後で新規作成時の初期値が異なります。
(フォーム)
(マイエリア)
(一覧表・単票)
| セキュリティ設定 | 対象機能 | 動作 | |
|---|---|---|---|
| POST制限 | フォーム | フォームで送信する際、POSTメソッドしか使えないよう制限いたします。 | |
| コンテンツに関する セキュリティ設定 |
クリックジャッキング対策 |
フォーム マイエリア 一覧表・単票 |
レスポンスヘッダに以下の要素が追加され、対象ページを他のページ内に設置しても表示されません。 ※iframeを利用している場合、iframeの中に設置するとページが表示されなくなります。 X-Frame-Options:SAMEORIGIN |
| クロスサイトスクリプティング対策 |
フォーム マイエリア 一覧表・単票 |
レスポンスヘッダに以下の要素が追加され、危険なスクリプトがブロックされます。 X-XSS-Protection:1; mode=block |
|
| 非SSL(http)での登録 |
マイエリア 一覧表 |
ページを表示する際、httpsでしかアクセスできないよう制限いたします。 | |
※ 詳細画面で表示される操作画面は開発中のものを掲載しており、変更する可能性がございます。
