Q&A
OWASPによれば、metaタグによるX-FRAME-OPTIONSは動作しないとの事です。https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#X-Frame-Options_Header_Types
入門書などで、セキュリティ対策として以下のようなheaderを冒頭に書いてあるのを見ます。
PHP
1//レスポンスの文字エンコーディングを指定 2header('Content-Type: text/html; charset=UTF-8'); 3//クリックジャッキング対策 4header('X-FRAME-OPTIONS', 'SAMEORIGIN');
またはクリックジャッキング対策としてHTMLに記述。
HTML
1<meta http-equiv="X-FRAME-OPTIONS" content="SAMEORIGIN">
これらは基本的にどのPHPファイル(HTMLを返しutf-8である前提)に書いておいても問題はないですか?保険的なセキュリティ対策として有効でしょうか?
また、他にheader()等で保険的にセキュリティ対策できるものがあれば教えていただきたいです。
よろしくお願いします。
回答4件
0
ベストアンサー
Content-Typeに文字エンコーディング指定も大切ですが、結果としてセキュリティにも利いてくるということであって、元々はコンテンツの文字エンコーディングを明示することにより、文字化けなくコンテンツが表示できるようにするということですね。
以下は、セキュリティが主目的のレスポンスヘッダで、かつ、指定することによる悪影響があまりないものです。これらは、Apacheやnginxの設定により必ず出力しておくとよいでしょう。最近の脆弱性診断ツールは、これらがないことだけで、脆弱性指摘するものが増えてきました。
HTTP
1X-Frame-Options: SAMEORIGIN 2X-Content-Type-Options: nosniff 3X-XSS-Protection: 1; mode=block
metaタグによるx-frame-options指定は、コメントにあるようにまったく無意味です。古いバージョンのGoogle Chromeでは有効でしたが、Google Chromeも最近のバージョンではmetaタグによるx-frame-optionsは無視します。
これらは基本的にどのPHPファイル(HTMLを返しutf-8である前提)に書いておいても問題はないですか?
はい。しかし、前述のように、Apacheやnginxの設定で出した方が簡単で、漏れる心配もありません。
保険的なセキュリティ対策として有効でしょうか?
はい。
厳密に言うと、x-frame-optionsはクリックジャッキングの根本的解決策であって、保険的なものではありません…が、「保険的以上の意味がある」ということですね。他の2つはXSSに対する保険的対策ですが、XSS対策はきちんと実施することが前提です。レスポンスヘッダだけでXSSが防げるわけではありません。
投稿2017/12/01 07:45
総合スコア11701
Apacheを使用しているのでhttpd.confで対策を施すのがベストなのですね。念のためサーバーの設定とphpファイルの両方でレスポンスヘッダを設定しておこうと思います。
その他のレスポンスヘッダも参考になりました。
ありがとうございました。
0
どのような意味を持つものかを理解したうえで利用されるのであれば、
全てのHTML出力にヘッダとして付与することは問題ないものと思います。
その場合、ApacheやNginx等でヘッダを付与したほうが漏れが無く確実です。
いちいちPHPに書く必要はありません。
他に付与を検討するヘッダーとしては、X-XSS-Protectionなどが考えられます。
投稿2017/11/30 22:07
退会済みユーザー
総合スコア0
0
面白そうだったので調べてみました。
F5 のサイトに良さげなまとめが^^
セキュリティを強化する7つの便利なHTTPヘッダ
php でページを作るのであれば、フレーム表示は考慮しなくて良い気がします。
その場合 X-Frame-Options は DENY で。
投稿2017/12/01 14:17
退会済みユーザー
総合スコア0
0
phpでの対応→php出力のみ対象。
ApacheやNginx等での対応→php以外の静的コンテンツ(html,js,css,その他)も含めて対象。
という違い。
投稿2017/12/01 01:58
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
