16.5. Clickjacking

Clickjacking은 사용자를 사용자가 인지하는 것과 다른 사용자 인터페이스 요소를 클릭하도록 유도하는 기술입니다. 악의적인 사이트에서는 대상 사이트의 중요한 버튼 아래에 직접 배치된 더미 버튼 위에 있는 투명한 iECDHE, overlaid로 대상 사이트를 로드합니다. 사용자가 표시 버튼을 클릭하면 숨겨진 페이지에서 버튼을 클릭합니다. 공격자는 이 방법을 사용하여 사용자의 인증 자격 증명을 도용하고 리소스에 액세스할 수 있습니다.

기본적으로 Red Hat Single Sign-On의 모든 응답은 이러한 문제를 방지할 수 있는 특정 HTTP 헤더를 설정합니다. 특히 X-ovn-Options 및 Content- Security-Policy 를 설정합니다. 제어할 수 있는 세분화된 브라우저 액세스 권한이 있으므로 두 헤더의 정의를 확인해야 합니다.

절차

Admin Console에서 X-LEVEL-Options 및 Content-Security-Policy 헤더의 값을 지정할 수 있습니다.

  1. CloudEvent Settings 메뉴 항목을 클릭합니다.

  2. 보안 탭을 클릭합니다.

    보안 문제

    Security Defenses

기본적으로 Red Hat Single Sign-On은 iframe에 대해 동일한 원본 정책만 설정합니다.