応用情報技術者試験令和3年春午前問37 解説付き過去問

問題

Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。

HTTPレスポンスヘッダにX-Content-Type-Optionsを設定する。

HTTPレスポンスヘッダにX-Frame-Optionsを設定する。

入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える。

入力文字数が制限を超えているときは受け付けない。

Webサイトにおけるクリックジャッキング攻撃の対策として適切な方法を選ぶ問題です。クリックジャッキングは、ユーザが意図しない操作をさせられるセキュリティ脅威です。ここでは、その対策に最も効果的な方法を見極めることが求められます。

クリックジャッキングとは
クリックジャッキングは、悪意のあるWebページが透明なフレームを使ってユーザーがクリックするべきでない要素をクリックさせる攻撃です。この攻撃により、ユーザーは自身の知らない間にセキュリティが低下する操作を行う可能性があります。
X-Frame-Optionsヘッダの役割
HTTPレスポンスヘッダにX-Frame-Optionsを設定することで、ブラウザはこのヘッダを見て、ページがどのようにフレーム内で表示されるべきかを判断します。例えば、'DENY'や'SAMEORIGIN'といった値を設定することで、無関係なサイトによるフレーミングを防ぎ、クリックジャッキング攻撃を効果的に防ぐことができます。
他の選択肢の評価
HTTPレスポンスヘッダにX-Content-Type-Optionsを設定する方法は、MIMEタイプのスニッフィング攻撃を防ぐためのもので、クリックジャッキングとは関係ありません。また、HTMLタグの置換や入力文字数の制限は、主にXSS攻撃やバッファオーバーフロー攻撃の対策であり、クリックジャッキングの対策としては不適切です。

したがって、クリックジャッキング攻撃を防ぐためには、HTTPレスポンスヘッダにX-Frame-Optionsを設定する方法が最も適切です。