X-Frame-Optionsとは
- HTTPのセキュリティ対策レスポンスヘッダーの一つ
- ブラウザーがページをフレームなどの中に表示することを許可するかどうかを示すために使用する
- Webサイト側はコンテンツが他サイトに埋め込まれないよう保証する
設定目的:クリックジャッキングの防止
-
クリックジャッキングによって発生しうる脅威
- ログイン後のユーザーのみが利用可能なサービスの悪用
- 意図しない情報発信、意図しない退会処理 など
- ログイン後のユーザーのみが編集可能な設定の変更
- ユーザー情報の公開範囲の意図しない変更 など
- ログイン後のユーザーのみが利用可能なサービスの悪用
設定値
-
DENY
- ページをフレーム内に表示することを許可しない
-
SAMEORIGIN
- ページ自体と同じオリジンのフレーム内でのみ表示可能とする