Zendeskでは、Webアプリケーションのiframeに固有のセキュリティリスクを警戒し、Zendeskへのiframeの埋め込みを許可していません。
このセキュリティリスクとは、一般に「クリックジャッキング」と呼ばれるUI改竄(UI Redressing)の手口で、ユーザーのWebページ上に重ねて表示した別のページのiframe要素を悪用し、クリックを誘うものです。
たとえば、このブログ記事にある例のように、別のWebサイトにアクセスしているように見せかけて、実際にはユーザーが既にログインしているWebサイト(オンラインバンキングアカウントなど)にハッカーを招き入れてしまうおそれがあります。
Zendeskは、すべてのサーバー応答に対してHTTPヘッダー(X-Frame-options)をSAMEORIGINに設定することで、iframeの埋め込みを禁止しています。このポリシーは2013年6月30日に施行されました。
0 コメント
サインインしてコメントを残してください。