質問内容

静的ページへお問い合わせフォーム（メールフォーム）を導入する際、iframeを利用して埋め込むという手段において考えられる技術上・セキュリティ上の問題はありますか？

経緯

現在、静的ページにお問い合わせフォームを導入（埋め込み）しようと考えています。

事前の計画ではPHPで自作することを考えていたのですが、XSSやCSRFといったセキュリティの問題に自分の知識では対応できそうになかったので、今回は「MicroEngine Mailform」を利用することにしました。

しかし、実際にライブラリの中身を確認してみると、MicroEngine Mailformでは付属のindex.phpを基軸として入力・確認・送信が行われているようで、埋め込むというよりも静的ページから遷移させて単体で動作させることを前提としているようでした。

そこで、

１、MicroEngine Mailformの推奨通り、静的ページではお問い合わせフォームへのリンクのみとし、遷移先でindex.phpを動かす。
ー＞今回の目標は静的ページへの埋め込みなので、なんとか静的ページで入力させるようにしたい。

２、MicroEngine Mailformのテンプレート入力ページを対象の静的ページにすり替える。
ー＞index.htmlがライブラリの奥深くに配置されることによってサイト構造が難しくなる。

３、別のフォームを導入する
ー＞自分が調べた限りではMicroEngine Mailformがセキュリティ面で一番しっかりしているようなので、できれば変更したくない。

と色々と考えた結果、最終的に「静的ページにMicroEngine Mailformをiframeで埋め込むという方法しかないのでは…？」と考えるようになりました。

ただ「セキュリティ面を考えてライブラリを導入したのにiframeで埋め込んだために別の問題が出てくるのでは本末転倒」ということで今回の質問内容が思い浮かび、teratailで質問させていただきました。

当方の知識不足で招いた問題ですが、ご回答いただけますと幸いです。

行動規範の内容に同意します

回答3件

ベストアンサー

iframeを使うことによる重大な問題はないと思いますが、さりとて、iframeを使う方法が良いかといえば、あまり良いとは言えません。

ユーザーを騙すことになる

ウェブの入力画面がどのドメインで動いているかは重要です。入力した内容がどのサイトに送られるかという指標になるからです。iframeを使うと、見た目上は、アドレスバーと異なるドメインにユーザー入力が送られるので良くありません。
この問題を緩和するには、画面上のどこかに、「この入力フォームはMicroEngine Mailform を用いており、お客様の入力内容もMicroEngine Mailformに送信されます」と注意書きを書いておくとよいでしょう。

脆弱性の原因になる可能性

入力フォームを罠サイトのiframeの中に入れることによる攻撃があります。代表的なものがクリックジャッキングです。クリックジャッキングについては以下を参照ください。

IPAテクニカルウォッチ　知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート

それでは、ご質問の入力フォームがクリックジャッキング脆弱かというと、そうとは限りません。要は「ユーザーの知らないうちに『クリックさせられていた』場合にどこまで悪いことが起こるか?」が問題となり、ログインのないサイトであれば、重大なことまでは発生しないことが多いです。
問題が起きそうな例を一つ紹介します。世論調査をネットで実施するフォームを作成したとします。クリックジャッキングを使うと、罠のサイトを見た利用者が、意図とは違う候補を選んでしまうということができます。攻撃者が自分で世論調査操作サイトに入力した場合と異なり、一般の方がクリックしているわけですから、不正操作を見抜くことが極めて困難になります。

難しいですか? 多分難しいですよね。なので、上記のようなことは理解できなくても、以下のレスポンスヘッダを常に送信することが推奨されています。

X-Frame-Options: sameorigin

これを送信すると、この画面は、異なるドメイン（オリジン）のページのiframeに入れることができなくなります。
一方、GoogleフォームやYoutubeの動画はiframeに入れることができますが、こちらは敢えてX-Frame-Optionsを生成せず、iframeに入ることを許容しているわけです。これらはGoogleが提供するものなので、クリックジャッキング等のリスクは熟知した上で、問題ないと判断している、あるいは問題ないように実装しているのでしょう。

結論としては、iframeを使うことによるリスクは通常は大きくないが、クリックジャッキング等の問題があり、それが判断できないのであれば、iframeを使わない（X-Frame-Optionsを使う）ことが望ましい、ということになります。

MicroEngine MailformはX-Frame-Optionsを出しておらず、だからiframeに入れることができるわけですが、仮にMicroEngine Mailformを使う場合でも、推奨通り以下の使い方をすることをおすすめします。

１、MicroEngine Mailformの推奨通り、静的ページではお問い合わせフォームへのリンクのみとし、遷移先でindex.phpを動かす。

投稿2019/11/03 01:15

ockeghem

総合スコア11705

退会済みユーザー

2019/11/03 09:35

素人にもわかりやすいご回答ありがとうございます。ご指摘いただいた問題点について、１、ユーザーを騙すことになる大変参考になりました。お問い合わせフォームの導入方法は再度検討中ですが、埋め込むことになった場合はご提案いただいた方法でユーザーに注意を促すようにします。２、脆弱性の原因になる可能性代表的な脆弱性までご提示いただきありがたい限りです。クリックジャッキングについて勉強させていただきました。丁寧なご回答に質問で返すのは申し訳ないのですが、下記の疑問にご回答いただけますと幸いです。 >>「この入力フォームはMicroEngine Mailform を用いており、お客様の入力内容もMicroEngine Mailformに送信されます」と注意書きを書いておく... >>MicroEngine MailformはX-Frame-Optionsを出しておらず、だからiframeに入れることができるわけですが... 私はMicroEngine Mailformの内部を詳しく読んでいないため、てっきりライブラリの中で入力から送信まで完結しているものだと考えていたのですが、どこかのフェーズでMicroEngineサーバーに接続しているのでしょうか？私の理解している範疇では、お問い合わせフォームを埋め込むことになった場合、下記の対策を実施しようと考えたのですが、回答者様のご意向と相違はございませんでしょうか？・クリックジャッキングによって誤クリックされた際にどんな影響があるか精査する。・埋め込み先のページとiframeで埋め込まれるページ（MicroEngine Mailform）を同一ドメインに設置し、サーバ側(Apache)でクリックジャッキングに対応する場合は「httpd.conf」にX-Frame-Optionsを記述する・フォームは別ページから埋め込んでいることをユーザーに知らせる。繰り返しになりますが、丁寧なご回答ありがとうございました。

ockeghem

2019/11/03 09:46

すいません。基本的な勘違いをしていたようです。 MicroEngine Mailformはあくまでプログラムとして導入するもので、ASP/SaaSとしてMicroEngine Mailformがあるわけではないのですね。そうなると、私の回答は少し的はずれでした。（iframe全般の問題としてはそのとおりですが） iframeが同じドメインにあるのであれば、注釈等は不要かと思います。一方、クリックジャッキング対策はぜひすべきであって、X-Frame-Options: sameoriginをフォーム側で送信するとよいと思います。対策する前提であれば、クリックジャッキングの影響を調査する必要はありません。また、埋め込みであることのコメントも不要かと思います。あとで本文の方も訂正しようと思いますが、結論としては、ifameを使うことによりクリックジャッキング等の影響がありえるので、x-frame-optionsヘッダにより対策するとよい、という形になります。

退会済みユーザー

2019/11/03 10:00

早速のご返答ありがとうございます。 >>X-Frame-Options: sameoriginをフォーム側で送信するとよいと思います承知しました。再度のご回答大変感謝します。

行動規範の内容に同意します

ありませんが、アドバイスとしてこういうリスクはあるのでしょうか？という質問の仕方が出来ない状態であるなら、リスクがあるかもしれないと思える方法は採用しない方がいいです。
特にセキュリティ関連の質問の場合、それが本当にリスクのあるやり方だとしても誤った回答やあえて正しくない回答をされた場合に鵜呑みにしてしまアウトです。

投稿2019/11/01 20:20