php
PHP - Click Jacking 기법
Click Jacking 기법은 CSRF 기법과 비슷하지만 수동적인 방법으로 공격합니다. 예를 들어 공격자는 어떤 페이지에 투명한 프레임(iframe)으로 표시해두고, 사용자는 문제의 페이지를 열었을 때 무심코 그 투명한 프레임(iframe)을 클릭하도록 유도하는 방법입니다.
무심코 클릭하면 CSRF 기법처럼 게시물을 삭제해 버리는 등 의도치 않는 동작을 하게 합니다.
iframe 의 사용을 제한하는 X-FRAME-OPTIONS 헤더를 이용해 문제를 해결할 수 있으며, 익스플로러 8 부터 사용할 수 있습니다.
헤더의 값을 SAMEORIGIN 로 설정하면 호스트명이 같을 경우에만 iframe을 허용합니다. 예를 들어 example.com/bbs/habony.php 와 example.com/bbs/test.php 파일에는 표시하지만 book.example.com/habony.php 파일은 호스트명이 다르므로 표시가 되지 않습니다.
DENY 를 지정하면 모든 페이지에 iframe 에 표시되는 것을 제한합니다.
무심코 클릭하면 CSRF 기법처럼 게시물을 삭제해 버리는 등 의도치 않는 동작을 하게 합니다.
iframe 의 사용을 제한하는 X-FRAME-OPTIONS 헤더를 이용해 문제를 해결할 수 있으며, 익스플로러 8 부터 사용할 수 있습니다.
헤더의 값을 SAMEORIGIN 로 설정하면 호스트명이 같을 경우에만 iframe을 허용합니다. 예를 들어 example.com/bbs/habony.php 와 example.com/bbs/test.php 파일에는 표시하지만 book.example.com/habony.php 파일은 호스트명이 다르므로 표시가 되지 않습니다.
X-FRAME-OPTIONS: SAMEORIGINDENY 를 지정하면 모든 페이지에 iframe 에 표시되는 것을 제한합니다.
X-FRAME-OPTIONS: DENY
0 댓글