X-Frame-Options

概要

X-Frame-Optionsについて。

X-Frame-Optionsとは

X-Frame-Options
サイトのコンテンツが外部のサイトに<frame><iframe><object>を通して表示されないように制御する機能。設定してない場合は、<frame><iframe><object>を通しての表示を許可している状態となる。設定項目は3つあり、DENYでは自身のドメインを含む全てのドメインで表示ができなくなる。SAMEORIGINでは自身のサイトでのみ表示が許可される。ALLOW-FROM https://example.com/は指定したドメインのみ表示を許可する。

クリックジャッキングを防ぐために設定される。通常のブログサイトであれば設定しなくても問題ない。しかし、ウェブサービスとして沢山のユーザーを抱えているサイトであれば、設定した方が良い。

通常の設定は、DENYで構わない。ただ使用しているプラグインによっては、SAMEORIGINに設定した方が良い。
.htaccessファイルに以下を記述。

.htaccess


Header set X-Frame-Options DENY

DENYの場合

.htaccess


Header set X-Frame-Options DENY

DENYと設定されているサイトは自分のサイトと外部サイトでの<iframe><frame /><object>表示ができなくなる。

SAMEORIGINの場合

.htaccess


Header set X-Frame-Options SAMEORIGIN

SAMEORIGINと設定されているサイトは外部サイトでの<iframe><frame /><object>表示ができなくなる。

ARROW-FROMの場合

.htaccess


Header set X-Frame-Options "ARROW-FROM https://example.com"

ARROW-FROMと設定されているサイトは指定したURL以外での<iframe><frame /><object>表示ができなくなる。

WordPressサイトでX Frame Optionsを設定する場合

しばらく運用していたところ、なぜかWordPressの外観を編集するカスタマイザーでサイト画面が表示されなくなった。Header set X-Frame-Options SAMEORIGINではなく、Header set X-Frame-Options "ARROW-FROM https://example.com"と設定すると表示されるようになったので参考までに。

参考サイト

X-Frame-Options – HTTP | MDN https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options

.
スポンサーリンク

商用利用可な素材配布しています!!

商用利用可なフリー素材ULOCO商用利用可なフリー素材ULOCO