メインコンテンツへスキップ
クリックジャッキングは、見えない要素や別の要素に見せかけた Web ページ要素をユーザーにクリックさせる攻撃です。これは、コンテンツを iframe に読み込み、その上に要素をレンダリングすることで行われます。 ページでは、攻撃者がユーザーをだまして Login ボタンや Reset Password ボタンをクリックさせる可能性があります。 これは、次の HTTP ヘッダーを設定することで防止できます。 X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none' 想定される攻撃のリスクがそれほど高くない場合でも、これらのヘッダーを追加することは適切なセキュリティ対策です。また、セキュリティスキャナーでも検出されるため、ペネトレーションテストのレポートでこれらのヘッダーが設定されていないことが指摘される場合があります。

Actions

iframe 内でログインページをレンダリングしている場合、これらのヘッダーを追加すると破壊的変更になる可能性があります。そのため、Auth0 ではこれらのヘッダーをすべてのお客様に一律で追加するのではなく、オプトインで有効にできるようにしています。有効化することを強く推奨します。 New Universal Login Experience を使用している場合は、これらのヘッダーが常に設定されるため、次の Action は不要です。 この変更にオプトインするには:
  1. Tenant Settings > Advanced Settings に移動します。
  2. Migrations までスクロールし、Disable クリックジャッキング protection for Classic Universal Login をオフにします。