応用情報技術者 試験情報＆徹底解説

クリックジャッキングは、攻撃者が用意したWebページの前面に透明化した別のWebページを重ねることでユーザーを視覚的にだまし、正常に視認できるWebページ上をクリックさせることで、透明化したWebページのコンテンツを操作させる攻撃です。ユーザーのクリックを奪うという攻撃の特徴からクリック・ジャッキングと呼ばれます。

• "X-Content-Type-Options"は、ブラウザによるMIMEスニッフィングの有効・無効を指示するためのHTTPヘッダで、値として"nosniff"を指定することがクロスサイトスクリプティングへの対策になります。
  MIMEスニッフィングとは、WebサーバからMIMEタイプ（メディアの種類）が指定されないなどの理由でリソースのMIMEタイプが不明なとき、ブラウザがリソースのバイトストリームを調べ、MIMEタイプを推定する機能です。これが有効になっていると、攻撃者がJSONや画像内に埋め込んだスクリプトを不正に実行してしまうおそれがあります。これを防止するためのヘッダが"X-Content-Type-Options"です。
• 正しい。"X-Frame-Options"は、フレーム要素（<frame>または<iframe>）を使用したコンテンツ表示を許可するかどうか指示するためのHTTPヘッダで、値として"DENY(拒否)"または"SAMEORIGIN"を指定することがクリックジャッキング攻撃への対策となります。
  クリックジャッキング攻撃は、別サイトのHTMLをフレーム要素で読込み、それを透明化して罠サイトの上に重ね合わせるため、フレーム要素を使用した他サイトの表示を禁止すれば防ぐことができます。
• クロスサイトスクリプティングへの対策です。入力値に含まれる特殊文字を無害化する処理をサニタイジングと言います。
• バッファオーバーフロー攻撃への対策です。