「X-Frame-Options」の版間の差分

提供: セキュリティ
移動: 案内検索
(関連項目)
行71: 行71:
 
* [[クリックジャッキング]]
 
* [[クリックジャッキング]]
 
* [[脆弱性]]
 
* [[脆弱性]]
 +
 +
{{http}}

2014年2月20日 (木) 23:14時点における版

HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。

読み方

X-Frame-Options
えっくす ふれーむ おぷしょんず

概要

HTTPレスポンスヘッダの X-Frame-Options は、クリックジャッキング 対策です。 Internet Explorer は、Internet Explorer 8 から X-Frame-Options に対応しました。

ウェブブラウザ が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。

X-Frame-Options の対応ブラウザ

X-Frame-Options に対応しているウェブブラウザ のバージョンは、以下の通りです。

X-Frame-Options の設定値

X-Frame-Options の設定と効果
設定値 効果
DENY 他のウェブページ上のframeとiframeでの表示を拒否します。
SAMEORIGIN トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。

設定

Apache の場合

Apache HTTP Server の設定の例です。

<IfModule mod_headers.c>
	Header append X-FRAME-OPTIONS "DENY"
</IfModule>

IIS 6.0 の場合

  1. インターネット インフォメーション サービス (IIS) マネージャを起動する
  2. ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
  3. 「HTTP ヘッダー」のタブを選択する
  4. 「カスタム HTTP ヘッダー」の「追加」をクリックする
  5. 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。


HTML ファイルに直接記述する場合

HTML に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。

<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />

関連項目