Skip to content

Instantly share code, notes, and snippets.

Embed
What would you like to do?
X-Frame-Options

X-Frame-Optionsとは

X-Frame-Options HTTP レスポンスヘッダは、ブラウザがページを frameタグ または iframeタグの内部に表示することを許可するかを示すことができます。

"X-"はどういう意味なのか気になる


なぜ

サイトはこのレスポンスヘッダを、クリックジャッキング攻撃を防止するために使用することができます。

よりセキュアにするため。もはや必須か。

なに

3つの属性を指定できる

DENY

サイト側の意図に関わらず、ページをフレーム内に表示することはできません。

SAMEORIGIN

自身と生成元が同じフレーム内に限り、ページを表示することができます。

ALLOW-FROM uri

指定された生成元に限り、ページをフレーム内に表示できます。

どうやって

ApacheやnginxなどのWebサーバで設定できる。

アプリケーションレベルでの対応は必要なさそう。

参考

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.