「X-Frame-Options」の版間の差分
提供: セキュリティ
細 |
|||
(同じ利用者による、間の1版が非表示) | |||
行1: | 行1: | ||
− | + | HTTPレスポンスヘッダに[[X-Frame-Options]] を指定することで、[[ウェブブラウザ]]に、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。 | |
− | + | ||
− | + | ||
− | HTTPレスポンスヘッダに[[X-Frame-Options]] を指定することで、[[ウェブブラウザ]]に、コンテンツを | + | |
− | 読み方 | + | '''読み方''' |
;[[X-Frame-Options]]: えっくす ふれーむ おぷしょんず | ;[[X-Frame-Options]]: えっくす ふれーむ おぷしょんず | ||
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
− | + | HTTPレスポンスヘッダの [[X-Frame-Options]] は、クリックジャッキング 対策です。 | |
− | HTTPレスポンスヘッダの [[X-Frame-Options]] | + | |
[[Internet Explorer]] は、[[Internet Explorer]] 8 から [[X-Frame-Options]] に対応しました。 | [[Internet Explorer]] は、[[Internet Explorer]] 8 から [[X-Frame-Options]] に対応しました。 | ||
[[ウェブブラウザ]] が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。 | [[ウェブブラウザ]] が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。 | ||
− | |||
== X-Frame-Options の対応ブラウザ == | == X-Frame-Options の対応ブラウザ == | ||
− | |||
[[X-Frame-Options]] に対応している[[ウェブブラウザ]] のバージョンは、以下の通りです。 | [[X-Frame-Options]] に対応している[[ウェブブラウザ]] のバージョンは、以下の通りです。 | ||
行22: | 行16: | ||
* [[Firefox]] 3.6.9 以降 | * [[Firefox]] 3.6.9 以降 | ||
* [[Chrome]] 4.1.249.1042 以降 | * [[Chrome]] 4.1.249.1042 以降 | ||
− | * | + | * Safari 4 以降 |
− | * | + | * Opera 10.50 以降 |
− | + | ||
== X-Frame-Options の設定値 == | == X-Frame-Options の設定値 == | ||
− | |||
{|class="wikitable" | {|class="wikitable" | ||
|+ [[X-Frame-Options]] の設定と効果 | |+ [[X-Frame-Options]] の設定と効果 | ||
行33: | 行25: | ||
|- | |- | ||
| DENY | | DENY | ||
− | | | + | | 他のウェブページ上のframeとiframeでの表示を拒否します。 |
|- | |- | ||
| SAMEORIGIN | | SAMEORIGIN | ||
− | | | + | | トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。 |
|} | |} | ||
== 設定 == | == 設定 == | ||
− | |||
=== Apache の場合 === | === Apache の場合 === | ||
− | |||
[[Apache HTTP Server]] の設定の例です。 | [[Apache HTTP Server]] の設定の例です。 | ||
<syntaxhighlight lang="apache"> | <syntaxhighlight lang="apache"> | ||
行49: | 行39: | ||
</IfModule> | </IfModule> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
=== IIS 6.0 の場合 === | === IIS 6.0 の場合 === | ||
− | |||
# インターネット インフォメーション サービス (IIS) マネージャを起動する | # インターネット インフォメーション サービス (IIS) マネージャを起動する | ||
# ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する | # ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する | ||
行57: | 行45: | ||
# 「カスタム HTTP ヘッダー」の「追加」をクリックする | # 「カスタム HTTP ヘッダー」の「追加」をクリックする | ||
# 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。 | # 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。 | ||
− | |||
− | |||
=== HTML ファイルに直接記述する場合 === | === HTML ファイルに直接記述する場合 === | ||
− | |||
[[HTML]] に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。 | [[HTML]] に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。 | ||
<syntaxhighlight lang="html4strict"> | <syntaxhighlight lang="html4strict"> | ||
<meta http-equiv="X-FRAME-OPTIONS" content="DENY" /> | <meta http-equiv="X-FRAME-OPTIONS" content="DENY" /> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== 関連項目 == | == 関連項目 == | ||
− | |||
* [[有効なセキュリティに関するHTTPヘッダ]] | * [[有効なセキュリティに関するHTTPヘッダ]] | ||
− | * | + | * クリックジャッキング |
* [[脆弱性]] | * [[脆弱性]] | ||
+ | {{http}} | ||
+ | <!-- | ||
+ | vim: filetype=mediawiki | ||
+ | --> |
2015年9月22日 (火) 01:11時点における最新版
HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。
読み方
- X-Frame-Options
- えっくす ふれーむ おぷしょんず
目次
概要
HTTPレスポンスヘッダの X-Frame-Options は、クリックジャッキング 対策です。 Internet Explorer は、Internet Explorer 8 から X-Frame-Options に対応しました。
ウェブブラウザ が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。
X-Frame-Options の対応ブラウザ
X-Frame-Options に対応しているウェブブラウザ のバージョンは、以下の通りです。
- Internet Explorer 8 以降
- Firefox 3.6.9 以降
- Chrome 4.1.249.1042 以降
- Safari 4 以降
- Opera 10.50 以降
X-Frame-Options の設定値
設定値 | 効果 |
---|---|
DENY | 他のウェブページ上のframeとiframeでの表示を拒否します。 |
SAMEORIGIN | トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。 |
設定
Apache の場合
Apache HTTP Server の設定の例です。
<IfModule mod_headers.c> Header append X-FRAME-OPTIONS "DENY" </IfModule>
IIS 6.0 の場合
- インターネット インフォメーション サービス (IIS) マネージャを起動する
- ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
- 「HTTP ヘッダー」のタブを選択する
- 「カスタム HTTP ヘッダー」の「追加」をクリックする
- 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。
HTML ファイルに直接記述する場合
HTML に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。
<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />