5.클릭 재킹 공격
CSS의 z-index와 opacity와 같은 레이어 위계 및 투명도 설정과 같은 스타일링 옵션을 악용하여 사용자가 의도하지 않은 페이지로 리다이렉트 시키는 공격 기법으로,
사용자의 클릭 이벤트를 가로챈다는 의미에서 클릭재킹(Clickjacking)이라고 함
1. 클릭 재킹 공격 대처 방법
1-1. HTTP 응답 헤더에 X-Frame-Options 옵션 추가
현대적인 접근 방법은 X-Frame-Options 옵션을 HTTP 응답 헤더에 추가하는 것으로,
스프링 시큐리티는 기본적으로 다음과 같이 해당 옵션을 활성화하여 <iframe /> 태그를 사용할 수 없도록 하고 있음
HTTP Header
X-Frame-Options: DENY1-2. Frame breaking code 작성
일부 오래된 브라우저에서는 특정 HTTP 헤더 옵션을 지원하지 않을 수 있기 때문에,
인터넷 익스플로러8 이하 버전과 같이 오래된 레거시 브라우저의 경우에는
JavaScript 코드를 통해 <iframe> 코드를 조작해야 함
1-3. Content Security Policy
그 외 클릭재킹 공격을 방지하는 기법으로는 Content Security Policy 방식이 있음
Last updated on