> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# ユニバーサルログイン変更によるクリックジャッキング防御

> クリックジャッキング攻撃を防御するためにAuth0が追加している、ユニバーサルログインページがiframeに埋め込まれないようにする方法について説明します。

クリックジャッキングとは、ユーザーをだましてWebページの要素をクリックさせる攻撃で、その要素は見えないか、別の要素に見せかけて表示されます。これは、iframeにコンテンツを読み込み、その上に要素を重ねて表示することで行われます。ユニバーサルログインページのコンテキストでは、攻撃者がユーザーをだまして **Login（ログイン）］** ボタンや **［Reset Password（パスワードのリセット）］** ボタンをクリックさせる可能性があります。

これは、次のHTTPヘッダーを設定することで防止できます。

`X-Frame-Options: deny
Content-Security-Policy: frame-ancestors 'none'`

潜在的な攻撃が重大なリスクを伴わないものであったとしても、ヘッダーを追加することはセキュリティ対策としてお勧めです。ヘッダーはセキュリティスキャナーでも検出されるため、これらのヘッダーの欠如がペネトレーションテスターの報告書で言及される可能性があります。

## アクション

ログインページをiframe内で表示する場合、これらのヘッダーを追加すると動作に支障をきたす可能性があります。そのため、Auth0では、これらのヘッダーをすべての顧客に適用するのではなく、オプトインで有効化できるようにしています。これらを有効にすることを強くお勧めします。

新しいユニバーサルログインエクスペリエンスを使用している場合、これらのヘッダーは常に設定されているため、次の対応は不要です。

この変更をオプトインするには、以下の操作を実行します。

1. [［Tenant Settings（テナント設定）］>［Advanced（詳細設定）］](https://manage.auth0.com/#/tenant/advanced)に移動します。
2. **［Migrations（移行）］** までスクロールし、**［Disable clickjacking protection for Classic Universal Login（クラシックユニバーサルログインのクリックジャッキング防御を無効化する）］** 設定をオフにします。
