ほかのWebサイトなどへのcybozu.com画面の埋め込みを許可する

cybozu.comの画面を、HTMLの<frame>または<iframe>タグを使用してほかのWebサイトや普段よく使っているシステムなどの画面に埋め込む場合に必要な設定について説明します。初期設定では、cybozu.com共通管理画面でクリックジャッキングからの保護が有効になっています。<frame>または<iframe>タグを使用した埋め込みを行う場合は、クリックジャッキングからの保護を無効にします。

クリックジャッキングとは

クリックジャッキングとは、Webページの透過表示機能などを悪用し、ユーザーが閲覧しているページとは別のサイトをユーザーにクリックさせる攻撃のことです。 非公開の情報をユーザー自身の操作で公開させてしまうなど、情報漏えいの原因の1つとなっています。 クリックジャッキングを説明する図

クリックジャッキングからの保護を有効にすることで、サーバーのレスポンスのヘッダーに「X-Frame-Options: SAMEORIGIN」が追加されます。 アドレスバーに表示されたドメインと同じWebページのみ表示が許可され、攻撃者のサイトにcybozu.comのページを表示できなくなります。

設定方法

  1. cybozu.com共通管理画面で「システム管理」の[外部への公開設定]をクリックします。
  2. 「外部への公開設定」画面で、「クリックジャッキングからの保護」の「有効にする」のチェックボックスの選択を外します。
  3. [保存]をクリックします。