「X-Frame-Options」ヘッダーがありません

low Web App Scanning プラグイン ID 98060

概要

「X-Frame-Options」ヘッダーがありません

説明

クリックジャッキング (ユーザーインターフェイス修正攻撃、UI 修正攻撃、UI 修正) は、Web ユーザーを騙して、ユーザーがクリックしていると認識しているものとは異なるものをクリックさせるように仕向ける悪意のある手法であり、一見無害な Web ページをクリックした際に機密情報を漏洩させたり、コンピューターをコントロールしたりする可能性があります。

サーバーは「X-Frame-Options」ヘッダーを返しませんでした。これは、この Web サイトがクリックジャッキング攻撃のリスクがあることを意味します。

「X-Frame-Options」HTTP 応答ヘッダーを使用して、ブラウザがフレームまたは iframe 内にページをレンダリングできるかどうかを示すことができます。サイトはこれを利用して、コンテンツが他のサイトに埋め込まれないようにし、クリックジャッキング攻撃を回避することができます。

ソリューション

「X-Frame-Options」ヘッダーを含めるように Web サーバーを構成します。

参考資料

http://tools.ietf.org/html/rfc7034

https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

https://www.owasp.org/index.php/Clickjacking

プラグインの詳細

深刻度: Low

ID: 98060

タイプ: remote

ファミリー: HTTP Security Header

公開日: 2017/3/31

更新日: 2024/3/25

スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Low

基本値: 2.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Low

基本値: 3.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

CVSS スコアのソース: Tenable

参照情報