クリックジャッキングの例¶

あるオンラインストアのサイトに、ログインユーザが「今すぐ購入」ボタンを押すことで商品を買えるようなページがあるとしましょう。あるユーザが利便性のためログインし続けることを選択していたとします。そして攻撃者が彼ら自身のサイトのページに 「私はポニーが好きです」ボタンを作り、さらに透明な iframe に先ほどのストアのページをロードして『「今すぐ購入」ボタンが彼らの「私はポニーが好きです」ボタンを真上に来るように』重ねたとします。もしそのユーザが攻撃者のサイトを訪ねて「私はポニーが好きです」ボタンをクリックしてしまうと、無意識に「今すぐ購入」 ボタンをクリックすることとなり、身に覚えの無い品物を購入することになってしまいます。

クリックジャッキングを防止する¶

モダンブラウザでは、frame や iframe の中にあるリソースをロードして良いかどうかを示す X-Frame-Options HTTP ヘッダの指定を尊重します。もしサーバからのレスポンスに SAMEORIGIN という値を指定した X-Frame-Options ヘッダが含まれていた場合、ブラウザは frame 中のリソースが同一サイトに由来する場合に限り、そのリソースをロードします。もしヘッダが DENY に設定されていた場合、どのサイトがリクエスト元であろうとブラウザは frame 中のリソースのロードを問答無用でブロックします。

Django はこのヘッダをレスポンスに含めるための方法をいくつか提供します:

1. すべてのレスポンスにこのヘッダを設定するミドルウェア

2. そのミドルウェアの動作をオーバーライドする、または単純に特定のビューにだけこのヘッダを設定するデコレータのセット

X-Frame-Options HTTP ヘッダは、まだそれがレスポンス中に存在しない場合に、ミドルウェアまたはビューのデコレータでのみ設定されます。

使用方法¶

MIDDLEWARE = [
    ...,
    "django.middleware.clickjacking.XFrameOptionsMiddleware",
    ...,
]

X_FRAME_OPTIONS = "SAMEORIGIN"

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt


@xframe_options_exempt
def ok_to_load_in_a_frame(request):
    return HttpResponse("This page is safe to load in a frame on any site.")

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin


@xframe_options_deny
def view_one(request):
    return HttpResponse("I won't display in any frame!")


@xframe_options_sameorigin
def view_two(request):
    return HttpResponse("Display in a frame if it's from the same origin as me.")

制限事項¶

The X-Frame-Options header will only protect against clickjacking in modern browsers.