注: 最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。簡単に参照できるように、こちらに英語の記事があります。
要約
Framesniffing は、ブラウザーの機能を利用して web サイトからデータを盗む攻撃手法です。クロスドメインの IFRAME でコンテンツをホストできるようにする Web アプリケーションは、この攻撃に対して脆弱になる可能性があります。
管理者は、IIS を構成して framesniffing を軽減することで、コンテンツがクロスドメインの IFRAME でホストされるのを防ぐ HTTP 応答ヘッダーを送信できます。
詳細情報
X フレーム-Options ヘッダーを使って、ページを IFRAME に入れることができるかどうかを制御できます。Framesniffing の手法は、IFRAME に被害者サイトを配置できることを前提としているため、適切な X フレームオプションヘッダーを送信して、web アプリケーション自体を保護することができます。
特定のサイトのすべての応答に X フレームオプションヘッダーを追加するように IIS を構成するには、次の手順を実行します。
-
インターネットインフォメーションサービス (IIS) マネージャーを開きます。
-
左側の [接続] ウィンドウで、[サイト] フォルダーを展開し、保護するサイトを選択します。
-
中央の機能リストの [HTTP 応答ヘッダー] アイコンをダブルクリックします。
-
右側の [操作] ウィンドウで、[追加] をクリックします。
-
表示されたダイアログボックスで、[名前] フィールドに「X フレーム-オプション」と入力し、[値] フィールドに「SAMEORIGIN」と入力します。
-
[OK] をクリックして変更を保存します。
この構成を必要とする他のサイトがある場合は、それらのサイトについても手順 2 ~ 6 を繰り返します。
この変更により、他のドメインの HTML ページが IFRAME でサイトをホストするのを防ぐことができます。たとえば、Contoso IT 部門がこの変更を http://contoso.com に適用した場合、http://fabrikam.com のページでは、IFRAME の http://contoso.com からコンテンツを表示することはできなくなります。
他のすべてのドメインをブロックしている間に、http://fabrikam.com が http://contoso.com をフレームにすることを許可するために、X-frame-Options ヘッダーの値を変更することができます。これを行うには、手順5の [X-Frame-Options] ヘッダーの値を http://fabrikam.com から [許可] に変更します。
X-Frame-Options ヘッダーの詳細については、この MSDN ブログの記事を参照してください。
変更を元に戻すには、次の手順を実行します。
-
インターネットインフォメーションサービス (IIS) マネージャーを開きます。
-
左側の [接続] ウィンドウで、[サイト] フォルダーを展開し、この変更を行ったサイトを選択します。
-
中央の機能一覧で、[HTTP 応答ヘッダー] アイコンをダブルクリックします。
-
表示されるヘッダーの一覧で、[X-フレーム-オプション] を選択します。
-
右側の [操作] ウィンドウで [削除] をクリックします。
