クリックジャッキングとは、ユーザーをだましてWebページの要素をクリックさせる攻撃で、その要素は見えないか、別の要素に見せかけて表示されます。これは、iframeにコンテンツを読み込み、その上に要素を重ねて表示することで行われます。ユニバーサルログインページのコンテキストでは、攻撃者がユーザーをだまして Login(ログイン)] ボタンや [Reset Password(パスワードのリセット)] ボタンをクリックさせる可能性があります。 これは、次のHTTPヘッダーを設定することで防止できます。Documentation Index
Fetch the complete documentation index at: https://auth0-feat-ionic-capacitor-quickstart-modernization.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none'
潜在的な攻撃が重大なリスクを伴わないものであったとしても、ヘッダーを追加することはセキュリティ対策としてお勧めです。ヘッダーはセキュリティスキャナーでも検出されるため、これらのヘッダーの欠如がペネトレーションテスターの報告書で言及される可能性があります。
アクション
ログインページをiframe内で表示する場合、これらのヘッダーを追加すると動作に支障をきたす可能性があります。そのため、Auth0では、これらのヘッダーをすべての顧客に適用するのではなく、オプトインで有効化できるようにしています。これらを有効にすることを強くお勧めします。 新しいユニバーサルログインエクスペリエンスを使用している場合、これらのヘッダーは常に設定されているため、次の対応は不要です。 この変更をオプトインするには、以下の操作を実行します。- [Tenant Settings(テナント設定)]>[Advanced(詳細設定)]に移動します。
- [Migrations(移行)] までスクロールし、[Disable clickjacking protection for Classic Universal Login(クラシックユニバーサルログインのクリックジャッキング防御を無効化する)] 設定をオフにします。