ThingWorx Clickjack のサポート
クリックジャッキングとは、攻撃者がフレームを使用してサイトを表示し、1 つ以上の非表示のレイヤーをサイトの上に適用することにより、ユーザーに、元のサイトのコンテンツと思わせて、非表示のレイヤー上のコンテンツをクリックさせる行為です。クリックジャッキングを防止するには、ページをフレームに表示しても問題がないかどうかをブラウザに通知する、サーバーからのレスポンスヘッダーが使用されます。それぞれのブラウザのコンプライアンスが異なるため、フレームに表示できるドメインを示すために、2 つの異なるヘッダーが使用される必要があります。これら 2 つのヘッダー (X-Frame-Options と Content-Security-Policy) については、次に説明します。ThingWorx はこれらのヘッダーを両方使用するため、管理者はフレーム表示を全面的に禁止するように設定したり、正当なドメインからのフレーム表示のみ、または特定のドメインからのフレーム表示のみを許可するように設定したりできます。
ヘッダーの説明
クリックジャッキングを防止するために使用されている 2 つのヘッダーは、X-Frame-Options と Content-Security-Policy です。
frame-ancestors が含まれている Content Security Policy Level 2 は、Internet Explorer、Edge、Opera Mini を除くすべてのブラウザの現行バージョンでサポートされており、Firefox 52 では部分的にのみサポートされています。完全なリストは、http://caniuse.com/#feat=contentsecuritypolicy2 にあります。X-Frame-Options Allow-From ヘッダーは、Internet Explorer バージョン 8 と Firefox バージョン 18 でサポートされていますが、Chrome、Safari、または Opera ではサポートされていません。サポートされているブラウザのリストは、https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Limitations にあります。
X-Frame-Options
• DENY - サイトがページをフレームに表示しようとするかどうかに関係なく、ページはフレームに表示されません。
• SAMEORIGIN - フレームのドメインがページのドメインと同じである場合にかぎり、ページはフレームに表示されます。
• ALLOW-FROM http://example.com - フレームのドメインが指定されているドメインである場合にかぎり、ページはフレームに表示されます。
Content-Security-Policy
• frame-ancestors ‘none’ - ドメインに関係なく、フレームにリソースがロードされるのを禁止します。
• frame-ancestors ‘self’ - ドメインが同じである場合にかぎり、フレームにリソースがロードされるのを許可します。
• frame-ancestors domain1.com domain2.com - 指定されているリストにドメインが含まれている場合にかぎり、フレームにリソースがロードされるのを許可します。
 |
ThingWorx ユーザーのセキュリティ体制を向上させるため、ThingWorx 9.3.15、9.4.5、9.5.1 以降の ThingWorx Platform にコンテンツセキュリティポリシー (CSP) が追加されました。詳細については、ThingWorx Platform ヘルプセンターの「コンテンツセキュリティポリシー」を参照してください。
|
ThingWorx のサポート
コンフィギュレーション
コンテンツセキュリティポリシーフィルタがオンになっている場合に ClickjackFilter を設定する方法については、ThingWorx Platform ヘルプセンターの「コンテンツセキュリティポリシー」を参照してください。
コンテンツセキュリティポリシーフィルタがオフになっている場合に ClickjackFilter を設定する方法については、ThingWorx Platform ヘルプセンターの「iFrame の埋め込みマッシュアップの許可」を参照してください。