ver.2サポートサイト

HOME機能サイト管理ページページのセキュリティ設定

ページのセキュリティ設定

概要

サイト内のページをより安全にご利用いただくために個別のセキュリティ設定が可能です。

外部サイトへの埋め込み

外部サイトからiframeでの呼び出しの許可を設定します。

IPアドレス制限

ページへのアクセスを許可されたIPアドレスからのみに限定することができます。

 

外部サイトへの埋め込み

SPIRAL ver.2で作成するページは、クリックジャッキング対策として他ドメインのサイトからiframeによって呼び出された場合でもエラーとなるようデフォルト設定が「許可しない」になっています。

「一部許可」は、自社サイト内にフォームなどのページを組み込むなど、意図的にiframeで呼び出したい場合に呼び出し元のドメインを設定します。

「すべて許可」は、ページをあらゆるサイトに組み込んでもらい拡散したい場合などに設定します。

 

iframe利用を「すべて許可」にするリスク ~クリックジャッキングとは~

SPIRAL ver.2で作成したページのiframe利用をすべて許可する場合、あらゆるドメインからページを呼び出すことが可能となるため、悪意のあるサイト上でクリックジャッキングに使用される可能性があります。

クリックジャッキングとは、ウェブページの上にiframe(インラインフレーム)で表示させた透明なページをかぶせ、見えているページのボタンやリンクをクリックする際に、インターネットユーザに気が付かれない状態で透明なページで扱う操作をさせてしまう攻撃手法の一つです。

具体的には、今後サイト機能で認証機能が提供された場合にSPIRAL ver.2上で構築した会員サイトが稼働していた際、インターネットユーザが当該会員サイトのログイン中に、それとは関係のない罠サイトである懸賞サイトにアクセスしてしまい、クリックジャッキングの仕込まれたページ上でボタンなどをクリックすると、会員サイト内で提供される情報変更やパスワード変更などが裏で操作され、意図せずパスワードなどの情報が変更されてしまい、結果認証情報が搾取されるような事態となります。

こういった事案を避ける為にも、iframeで呼び込みたいサイトが特定されている場合は「一部許可」を利用し、「すべて許可」はクリックジャッキングされても問題のないページでのみ設定するようにし、リスクを最小限に抑えてください。

 

※参考URL

【IPA】知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの「クリックジャッキング」に関するレポート

 

※「一部許可」で非SSLのURLを指定する際の注意事項

「一部許可」でURLを「http://~」(非SSL)で設定した場合、Content Security Policyを採用しているブラウザ(Chrome,Firefox,Opera,Safari,Edgeなど)では、同一ドメインでのSSL対応ページ「https://~」でもiframe内のコンテンツが表示可能ですが、IEなどCSPに対応していないブラウザでは表示不可能になります。

IPアドレス制限

ページにIPアドレス制限をかけたい場合、IPアドレス制限の「一部許可」を選択すると、アクセスを許可したいIPアドレスを指定することができます。

IPアドレスの入力フォーマットに関してはIPアドレス制限のIPアドレス指定フォーマットをご参照ください。