ユニバーサルログイン変更によるクリックジャッキング防御

クリックジャッキングとは、ユーザーをだましてWebページの要素をクリックさせる攻撃で、その要素は見えないか、別の要素に見せかけて表示されます。これは、iframeにコンテンツを読み込み、その上に要素を重ねて表示することで行われます。ユニバーサルログインページのコンテキストでは、攻撃者がユーザーをだまして［Login（ログイン）］ボタンや［Reset Password（パスワードのリセット）］ボタンをクリックさせる可能性があります。

これは、次のHTTPヘッダーを設定することで防止できます。

X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none'

潜在的な攻撃が重大なリスクを伴わないものであったとしても、ヘッダーを追加することはセキュリティ対策としてお勧めです。ヘッダーはセキュリティスキャナーでも検出されるため、これらのヘッダーの欠如がペネトレーションテスターの報告書で言及される可能性があります。

ログインページをiframe内で表示する場合、これらのヘッダーを追加すると動作に支障をきたす可能性があります。そのため、Auth0では、これらのヘッダーをすべての顧客に適用するのではなく、オプトインで有効化できるようにしています。これらを有効にすることを強くお勧めします。

新しいユニバーサルログインエクスペリエンスを使用している場合、これらのヘッダーは常に設定されているため、次の対応は不要です。

この変更をオプトインするには、以下の操作を実行します。

1. ［Tenant Settings（テナント設定）］>［Advanced（詳細設定）］に移動します。

2. ［Migrations（移行）］までスクロールし、［Disable clickjacking protection for Classic Universal Login（クラシックユニバーサルログインのクリックジャッキング防御を無効化する）］設定をオフにします。