ITエンジニアの技術メモ

神奈川在住のITエンジニアの備忘録です。おもにプログラミングやネットワーク技術について、学んだことを自分の中で整理するためにゆるゆると書いています。ちゃんと検証できていない部分もあるのでご参考程度となりますが、誰かのお役に立てれば幸いです。

X-Frame-Options レスポンスヘッダについて

httpの X-Frame-Options レスポンスヘッダについて簡単に纏める。

webサーバがクライアント(ブラウザ)に応答を返す際、そのレスポンスヘッダに「X-Frame-Options」を入れることで、ブラウザ側での iframe(フレーム) の制御をコントロールすることができる。

X-Frame-Options に「DENY」をセットすると、ブラウザ側ではフレーム内のページ表示ができなくなる。「SAMEORIGIN」をセットすると、フレーム内のページのドメインとフレームを包含するページのドメインが同じ場合のみ、フレーム内のページを表示するよう制限できる。

この X-Frame-Options は、「クリックジャッキング」攻撃への webサーバ側の対策として使用されることがある。

 

以下を参考にさせて頂きました。

https://nulab.com/ja/blog/typetalk/measure-clickjacking/

https://cybersecurity-jp.com/security-measures/6935