メインコンテンツへスキップ
クリックジャッキングとは、ユーザーをだましてWebページの要素をクリックさせる攻撃で、その要素は見えないか、別の要素に見せかけて表示されます。これは、iframeにコンテンツを読み込み、その上に要素を重ねて表示することで行われます。ユニバーサルログインページのコンテキストでは、攻撃者がユーザーをだまして Login(ログイン)] ボタンや [Reset Password(パスワードのリセット)] ボタンをクリックさせる可能性があります。 これは、次のHTTPヘッダーを設定することで防止できます。 X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none' 潜在的な攻撃が重大なリスクを伴わないものであったとしても、ヘッダーを追加することはセキュリティ対策としてお勧めです。ヘッダーはセキュリティスキャナーでも検出されるため、これらのヘッダーの欠如がペネトレーションテスターの報告書で言及される可能性があります。

アクション

ログインページをiframe内で表示する場合、これらのヘッダーを追加すると動作に支障をきたす可能性があります。そのため、Auth0では、これらのヘッダーをすべての顧客に適用するのではなく、オプトインで有効化できるようにしています。これらを有効にすることを強くお勧めします。 新しいユニバーサルログインエクスペリエンスを使用している場合、これらのヘッダーは常に設定されているため、次の対応は不要です。 この変更をオプトインするには、以下の操作を実行します。
  1. [Tenant Settings(テナント設定)]>[Advanced(詳細設定)]に移動します。
  2. [Migrations(移行)] までスクロールし、[Disable clickjacking protection for Classic Universal Login(クラシックユニバーサルログインのクリックジャッキング防御を無効化する)] 設定をオフにします。