「X-Frame-Options」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを [[ifram...」)
 
 
(同じ利用者による、間の2版が非表示)
行1: 行1:
<!--
+
HTTPレスポンスヘッダに[[X-Frame-Options]] を指定することで、[[ウェブブラウザ]]に、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。
vim: filetype=mediawiki
+
-->
+
HTTPレスポンスヘッダに[[X-Frame-Options]] を指定することで、[[ウェブブラウザ]]に、コンテンツを [[iframe]] 内部に表示してもよいか、指示できます。[[クリックジャッキング]]対策として利用します。
+
  
読み方
+
'''読み方'''
 
;[[X-Frame-Options]]: えっくす ふれーむ おぷしょんず
 
;[[X-Frame-Options]]: えっくす ふれーむ おぷしょんず
 
__TOC__
 
__TOC__
  
 
== 概要 ==
 
== 概要 ==
 
+
HTTPレスポンスヘッダの [[X-Frame-Options]] は、クリックジャッキング 対策です。
HTTPレスポンスヘッダの [[X-Frame-Options]] は、[[クリックジャッキング]] 対策です。
+
 
[[Internet Explorer]] は、[[Internet Explorer]] 8 から [[X-Frame-Options]] に対応しました。
 
[[Internet Explorer]] は、[[Internet Explorer]] 8 から [[X-Frame-Options]] に対応しました。
  
 
[[ウェブブラウザ]] が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。
 
[[ウェブブラウザ]] が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。
 
 
== X-Frame-Options の対応ブラウザ ==
 
== X-Frame-Options の対応ブラウザ ==
 
 
[[X-Frame-Options]] に対応している[[ウェブブラウザ]] のバージョンは、以下の通りです。
 
[[X-Frame-Options]] に対応している[[ウェブブラウザ]] のバージョンは、以下の通りです。
  
行22: 行16:
 
* [[Firefox]] 3.6.9 以降
 
* [[Firefox]] 3.6.9 以降
 
* [[Chrome]] 4.1.249.1042 以降
 
* [[Chrome]] 4.1.249.1042 以降
* [[Safari]] 4 以降
+
* Safari 4 以降
* [[Opera]] 10.50 以降
+
* Opera 10.50 以降
 
+
 
== X-Frame-Options の設定値 ==
 
== X-Frame-Options の設定値 ==
 
 
{|class="wikitable"
 
{|class="wikitable"
 
|+ [[X-Frame-Options]] の設定と効果
 
|+ [[X-Frame-Options]] の設定と効果
行33: 行25:
 
|-
 
|-
 
| DENY
 
| DENY
| 他の[[ウェブページ]]上のframeとiframeでの表示を拒否します。
+
| 他のウェブページ上のframeとiframeでの表示を拒否します。
 
|-
 
|-
 
| SAMEORIGIN
 
| SAMEORIGIN
| トップレベルブラウジングコンテキストが一致した場合のみ、ほかの[[ウェブページ]]のframeとiframeでの表示を許可します。
+
| トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。
 
|}
 
|}
  
 
== 設定 ==
 
== 設定 ==
 
 
=== Apache の場合 ===
 
=== Apache の場合 ===
 
 
[[Apache HTTP Server]] の設定の例です。
 
[[Apache HTTP Server]] の設定の例です。
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="apache">
 
<IfModule mod_headers.c>
 
<IfModule mod_headers.c>
Header append X-FRAME-OPTIONS "DENY"
+
Header append X-FRAME-OPTIONS "DENY"
 
</IfModule>
 
</IfModule>
 
</syntaxhighlight>
 
</syntaxhighlight>
 
 
=== IIS 6.0 の場合 ===
 
=== IIS 6.0 の場合 ===
 
 
# インターネット インフォメーション サービス (IIS) マネージャを起動する
 
# インターネット インフォメーション サービス (IIS) マネージャを起動する
 
# ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
 
# ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
行57: 行45:
 
# 「カスタム HTTP ヘッダー」の「追加」をクリックする
 
# 「カスタム HTTP ヘッダー」の「追加」をクリックする
 
# 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。
 
# 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。
 
 
 
=== HTML ファイルに直接記述する場合 ===
 
=== HTML ファイルに直接記述する場合 ===
 
 
[[HTML]] に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。
 
[[HTML]] に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。
 
<syntaxhighlight lang="html4strict">
 
<syntaxhighlight lang="html4strict">
 
<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />
 
<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />
 
</syntaxhighlight>
 
</syntaxhighlight>
 
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [[有効なセキュリティに関するHTTPヘッダ]]
 
* [[有効なセキュリティに関するHTTPヘッダ]]
* [[クリックジャッキング]]
+
* クリックジャッキング
 
* [[脆弱性]]
 
* [[脆弱性]]
 +
{{http}}
 +
<!--
 +
vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 01:11時点における最新版

HTTPレスポンスヘッダにX-Frame-Options を指定することで、ウェブブラウザに、コンテンツを iframe 内部に表示してもよいか、指示できます。クリックジャッキング対策として利用します。

読み方

X-Frame-Options
えっくす ふれーむ おぷしょんず

概要

HTTPレスポンスヘッダの X-Frame-Options は、クリックジャッキング 対策です。 Internet Explorer は、Internet Explorer 8 から X-Frame-Options に対応しました。

ウェブブラウザ が対応していないと、対策として機能しませんが、現行のメジャーなブラウザが対応しています。

X-Frame-Options の対応ブラウザ

X-Frame-Options に対応しているウェブブラウザ のバージョンは、以下の通りです。

X-Frame-Options の設定値

X-Frame-Options の設定と効果
設定値 効果
DENY 他のウェブページ上のframeとiframeでの表示を拒否します。
SAMEORIGIN トップレベルブラウジングコンテキストが一致した場合のみ、ほかのウェブページのframeとiframeでの表示を許可します。

設定

Apache の場合

Apache HTTP Server の設定の例です。

<IfModule mod_headers.c>
	Header append X-FRAME-OPTIONS "DENY"
</IfModule>

IIS 6.0 の場合

  1. インターネット インフォメーション サービス (IIS) マネージャを起動する
  2. ツリーの Web サイト の「既存の Web サイト」を右クリックし、プロパティを表示する
  3. 「HTTP ヘッダー」のタブを選択する
  4. 「カスタム HTTP ヘッダー」の「追加」をクリックする
  5. 「ヘッダー名」に「 X-FRAME-OPTIONS 」、「カスタムヘッダー値」に「DENY」を入力し、「OK」をクリックします。

HTML ファイルに直接記述する場合

HTML に直接記述すべきではないようですが、どうしても記述したい場合は、以下の通りです。

<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />

関連項目