X-Frame-Options

HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。

読み方

X-Frame-Options

えっくす ふれーむ おぷしょんず

概要

HTTPレスポンスヘッダの X-Frame-Options は、クリックジャッキング 対策です。 Internet Explorer は、Internet Explorer 8 から X-Frame-Options に対応しました。

ウェブブラウザ が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。

X-Frame-Options の対応ブラウザ

X-Frame-Options に対応しているウェブブラウザ のバージョンは、以下の通りです。

• Internet Explorer 8 以降
• Firefox 3.6.9 以降
• Chrome 4.1.249.1042 以降
• Safari 4 以降
• Opera 10.50 以降

X-Frame-Options の設定値

設定

Apache の場合

Apache HTTP Server の設定の例です。

<IfModule mod_headers.c>
	Header append X-FRAME-OPTIONS "DENY"
</IfModule>

IIS 6.0 の場合

1. インターネット インフォメーション サービス (IIS) マネージャを起動する
2. ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
3. 「HTTP ヘッダー」のタブを選択する
4. 「カスタム HTTP ヘッダー」の「追加」をクリックする
5. 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。

HTML ファイルに直接記述する場合

HTML に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。

<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />

関連項目

• 有効なセキュリティに関するHTTPヘッダ
• クリックジャッキング
• 脆弱性
• Hypertext Transfer Protocol (HTTP)
• HTTPS
  • Transport Layer Security (TLS)
  • Secure Sockets Layer (SSL)
  • SPDY
• HTTP cookie
• 同一生成元ポリシー