httpの X-Frame-Options レスポンスヘッダについて簡単に纏める。
webサーバがクライアント(ブラウザ)に応答を返す際、そのレスポンスヘッダに「X-Frame-Options」を入れることで、ブラウザ側での iframe(フレーム) の制御をコントロールすることができる。
X-Frame-Options に「DENY」をセットすると、ブラウザ側ではフレーム内のページ表示ができなくなる。「SAMEORIGIN」をセットすると、フレーム内のページのドメインとフレームを包含するページのドメインが同じ場合のみ、フレーム内のページを表示するよう制限できる。
この X-Frame-Options は、「クリックジャッキング」攻撃への webサーバ側の対策として使用されることがある。
以下を参考にさせて頂きました。
