平成28年度(2016) 試験 問20 | 中小企業診断士 経営情報システム

Webページに出力するすべての要素に対して、エスケープ処理を実施することで、クリックジャッキング攻撃を防止することができる。

WebページのHTTPレスポンスヘッダにX-Frame-Optionsヘッダフィールドを出力しないことが、クリックジャッキング攻撃への対策となる。

クリックジャッキング攻撃とクロスサイト・リクエスト・フオージェリに共通する対策がある。

クリックに応じた処理を実行する直前のページで再度パスワードの入力を求め、再度入力されたパスワードが正しい場合のみ処理を実行することが、クリックジャッキング攻撃とクロスサイト・スクリプティングで共通の対策となる。