「X-Frame-Options」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを [[ifram...」) |
細 |
||
行44: | 行44: | ||
[[Apache HTTP Server]] の設定の例です。 | [[Apache HTTP Server]] の設定の例です。 | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="apache"> |
<IfModule mod_headers.c> | <IfModule mod_headers.c> | ||
− | Header append X-FRAME-OPTIONS | + | Header append X-FRAME-OPTIONS "DENY" |
</IfModule> | </IfModule> | ||
</syntaxhighlight> | </syntaxhighlight> |
2013年5月2日 (木) 00:30時点における版
HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。
読み方
- X-Frame-Options
- えっくす ふれーむ おぷしょんず
目次
概要
HTTPレスポンスヘッダの X-Frame-Options は、クリックジャッキング 対策です。 Internet Explorer は、Internet Explorer 8 から X-Frame-Options に対応しました。
ウェブブラウザ が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。
X-Frame-Options の対応ブラウザ
X-Frame-Options に対応しているウェブブラウザ のバージョンは、以下の通りです。
- Internet Explorer 8 以降
- Firefox 3.6.9 以降
- Chrome 4.1.249.1042 以降
- Safari 4 以降
- Opera 10.50 以降
X-Frame-Options の設定値
設定値 | 効果 |
---|---|
DENY | 他のウェブページ上のframeとiframeでの表示を拒否します。 |
SAMEORIGIN | トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。 |
設定
Apache の場合
Apache HTTP Server の設定の例です。
<IfModule mod_headers.c> Header append X-FRAME-OPTIONS "DENY" </IfModule>
IIS 6.0 の場合
- インターネット インフォメーション サービス (IIS) マネージャを起動する
- ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
- 「HTTP ヘッダー」のタブを選択する
- 「カスタム HTTP ヘッダー」の「追加」をクリックする
- 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。
HTML ファイルに直接記述する場合
HTML に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。
<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />