「X-Frame-Options」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを [[ifram...」) |
(相違点なし)
|
2013年4月29日 (月) 22:06時点における版
HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。
読み方
- X-Frame-Options
- えっくす ふれーむ おぷしょんず
目次
概要
HTTPレスポンスヘッダの X-Frame-Options は、クリックジャッキング 対策です。 Internet Explorer は、Internet Explorer 8 から X-Frame-Options に対応しました。
ウェブブラウザ が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。
X-Frame-Options の対応ブラウザ
X-Frame-Options に対応しているウェブブラウザ のバージョンは、以下の通りです。
- Internet Explorer 8 以降
- Firefox 3.6.9 以降
- Chrome 4.1.249.1042 以降
- Safari 4 以降
- Opera 10.50 以降
X-Frame-Options の設定値
設定値 | 効果 |
---|---|
DENY | 他のウェブページ上のframeとiframeでの表示を拒否します。 |
SAMEORIGIN | トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。 |
設定
Apache の場合
Apache HTTP Server の設定の例です。
<IfModule mod_headers.c> Header append X-FRAME-OPTIONS “"DENY" </IfModule>
IIS 6.0 の場合
- インターネット インフォメーション サービス (IIS) マネージャを起動する
- ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
- 「HTTP ヘッダー」のタブを選択する
- 「カスタム HTTP ヘッダー」の「追加」をクリックする
- 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。
HTML ファイルに直接記述する場合
HTML に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。
<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />