フォームのセキュリティを強化する
Synergy!LEADのフォーム機能には、セキュリティを強化するためにHTTPヘッダを付与する機能を備えています。
この機能を有効にすることにより、クリックジャッキングやクロスサイトスクリプティングを防ぎ、より安全にフォーム機能をご利用いただけるようになります。
・iframeなどからのフォーム呼び出しに関する設定:iframeなどからフォーム呼び出しを禁止
・クロスサイトスクリプティング保護に関する設定:保護を有効にする
付与されるHTTPヘッダの詳細
X-Frame-Options設定(クリックジャッキング対策)
「iframeなどからのフォーム呼び出しに関する設定」によって追加されるHTTPヘッダです。
クリックジャッキングと呼ばれるiframe(インラインフレーム)で表示させた透明のページ(フォーム)を悪質なWebページの上にかぶせ、利用者に意図しない動作をさせようとする攻撃手法の防御に有効です。
X-XSS-Protection設定(クロスサイトスクリプティング対策)
「クロスサイトスクリプティング保護に関する設定」によって追加されるHTTPヘッダです。
クロスサイトスクリプティングと呼ばれる不正なスクリプトを実行し情報漏えい、データの不正登録や破壊、サイトの改ざんなどを行う攻撃手法の防御に有効です。
※Internet Explorer8以上とSafariに有効で、Internet Explorer7以下やその他のブラウザには対応していません。
X-Content-Type-Options設定(クロスサイトスクリプティング対策)
「クロスサイトスクリプティング保護に関する設定」によって追加されるHTTPヘッダです。
MIMEスニッフィングと呼ばれるファイルダウンロード時にファイル形式をブラウザに誤認させてスクリプトを実行させてしまうような攻撃手法(XSS攻撃)の防御に有効です。
※Internet Explorer8以下に有効でその他のブラウザやバージョンではこの脆弱性はありません。
実際の設定画面
フォームセキュリティ設定の詳細
iframeなどからのフォーム呼び出しに関する設定
X-Frame-Optionsに関する設定を追加します。
iframeなどからフォームの呼び出しを禁止
フォームを表示した際のHTTPヘッダに【X-Frame-Options: DENY】を追加し、他のWebページのiframe(インラインフレーム)内にフォームが表示されることを防ぎます。
※フォーム内に別のページをiframeで読み込むことは禁止しません。
指定するドメインからのみ、iframeなどからフォーム呼び出しを許可
フォームを表示した際のHTTPヘッダに【X-Frame-Options: ALLOW-FROM <指定ドメイン>】と【Content-Security-Policy: frame-ancestors <指定ドメイン>】を追加し、枠内に指定したドメインページのみでWebページのiframe(インラインフレーム)内にフォームが表示されることを許可します。
・ポート番号は任意です。
・サブドメインにワイルドカードが利用できます。
・複数指定する場合はドメイン同士を半角スペースで区切り、4000文字以内におさめてください。
【ドメイン設定の例】
1つの場合:
https://*.synergy-marketing.co.jp/
複数の場合:
https://*.synergy-marketing1.co.jp/ https://*.synergy-marketing2.co.jp/
iframeなどでのフォーム呼び出しを許可
フォームを表示した際のHTTPヘッダには何も追加しません。
クロスサイトスクリプティング保護に関する設定
X-XSS-Protection、X-Content-Type-Optionsに関する設定を追加します。
保護を有効にする
フォームを表示した際のHTTPヘッダに【X-XSS-Protection: 1; mode=block】を追加し、フォームに悪意のあるスクリプトが埋め込まれるのを防ぎます。
フォームを表示した際のHTTPヘッダに【X-Content-Type-Options: nosniff】を追加し、ファイルの内容をContent-Type属性から正しく判断させ誤認を防ぎます。
保護を無効にする
フォームを表示した際のHTTPヘッダには何も追加しません。
