Xframeoptions

2,149 views

Published on

AVTokyo2011
Web-talk資料
X-Frame-Options 覚書
hoshikuzu|star_dust
※スッカスカ資料ですみません

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,149
On SlideShare
0
From Embeds
0
Number of Embeds
37
Actions
Shares
0
Downloads
9
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Xframeoptions

  1. 1. 備忘録 X-Frame-Options 11/14/11
  2. 2. X-Frame-Options の作用対象の謎 <ul><li>clickjacking のターゲットとなる要素は </li></ul><ul><ul><li>Frame </li></ul></ul><ul><ul><li>Iframe </li></ul></ul><ul><ul><li>Object </li></ul></ul><ul><ul><li>Embed </li></ul></ul><ul><ul><li>Applet </li></ul></ul><ul><li>X-Frame-Options は上記をサポートしてる? </li></ul><ul><li>http://bit.ly/24I3Oi </li></ul>11/14/11
  3. 3. X-Frame-Options の作用対象の謎 <ul><li>多くの frame-busting-code は、 obeject 要素 embed 要素 aplet 要素に対しては効き目がない? </li></ul><ul><li>教えてください。 </li></ul>11/14/11
  4. 4. frame-buster  は XSS-Filter で無効化 <ul><li>IE では、いわゆる frame-busting code を、 XSS-Filter を使って無効化できる場合が多々ある。 </li></ul><ul><li>どうしたら良いのだろう? 私にはわからない </li></ul>11/14/11
  5. 5. Meta 要素で X-Frame-Options を使うな <ul><li>Meta 要素では、無効になるブラウザが普通。 </li></ul><ul><li>技術メモ - クリックジャッキング対策 ~ X-FRAME-OPTIONS について ~ ( http://ux.nu/cikB0+ ) meta 要素でオッケーと書いてある。駄目。 </li></ul>11/14/11
  6. 6. Meta 要素で X-Frame-Options を使うな  <ul><li>IE8 Security Guide  – Microsoft () RT( https://bitly.com/uu0Ii1 ) For sites to take advantage of the added protection from ClickJacking exploits, they need to add an X-FRAME-OPTIONS tag in either the HTTP header or the HTTP EQUIV meta tag.   </li></ul><ul><li>↑   BAD ! </li></ul>11/14/11
  7. 7. Meta 要素で X-Frame-Options を使うな <ul><li>http://ux.nu/oCE00 </li></ul><ul><li>EricLaw ( MSDN Blogs ) </li></ul><ul><li>> Send the content as an HTTP Header - the directive is ignored if specified in a META tag </li></ul>11/14/11
  8. 8. Why? <ul><li>Cross-site Scripting (XSS) Filter can Kill meta http-equiv X-Frame-Options? </li></ul><ul><li><meta content=&quot;DENY&quot; http-equiv=&quot;X-FRAME-OPTIONS&quot;/> </li></ul><ul><li>↓ </li></ul><ul><li><me # a content=&quot;DENY&quot; http-equiv=&quot;X-FRAME-OPTIONS&quot;/> </li></ul>11/14/11
  9. 9. demo 11/14/11
  10. 10. Why? <ul><li>Firefox では、中の人が meta 要素ではサポートすべきではないと言っている </li></ul><ul><ul><li>一瞬でもパースしたくない </li></ul></ul><ul><ul><li>タイミング。 コンディションレーシング。 </li></ul></ul><ul><li>IE でも同じこと。 </li></ul>11/14/11
  11. 11. Meta 要素で無効なのか有効なのか <ul><li>指導的な文書・仕様に不安な側面がありそう </li></ul><ul><li>困りましたね </li></ul>11/14/11
  12. 12. 今後の展開はどうなるか <ul><li>http://ux.nu/RcVUi </li></ul><ul><li>HTTP Header Frame Options draft-gondrom-frame-options-01 </li></ul><ul><li>機能拡張を含む標準仕様のドラフト。 </li></ul>11/14/11
  13. 13. おわり <ul><li>ありがとうございました </li></ul>11/14/11

×