現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-51

Mozilla Foundation セキュリティアドバイザリ 2012-51

タイトル: 重複した X-Frame-Options ヘッダが無視される
重要度:
公開日: 2012/07/17
報告者: Frédéric Buclin
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6
  Thunderbird 14
  Thunderbird ESR 10.0.6
  SeaMonkey 2.11

概要

例えば X-Frame-Options: SAMEORIGIN, SAMEORIGIN のように X-Frame-Options ヘッダの値が重複していた場合、そのヘッダ自体が無視されてしまうことが、Bugzilla 開発者の Frédéric Buclin 氏によって報告されました。原因は不明なものの、このような重複は一部のサイトで生じており、そうした場合、そのページ上では Mozilla のブラウザ製品が潜在的なクリックジャッキング攻撃から保護されていない状態になります。

参考資料