X-Frame-Options

非推奨;: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。

警告: このヘッダーの代わりに、 frame-ancestors ディレクティブを Content-Security-Policy ヘッダーで使用してください。

X-Frame-OptionsHTTP のレスポンスヘッダーで、ブラウザーがページを <frame><iframe><embed><object> の中に表示することを許可するかどうかを示すために使用します。サイトはコンテンツが他のサイトに埋め込まれないよう保証することで、クリックジャッキング攻撃を防ぐために使用することができます。

セキュリティが強化されるのは、ユーザーが X-Frame-Options に対応したブラウザーを使用して文書にアクセスした場合のみです。

ヘッダー種別 レスポンスヘッダー
禁止ヘッダー名 いいえ

構文

X-Frame-Options には 2 つの有効なディレクティブがあります。

http
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

ディレクティブ

DENY を指定した場合は、フレームにページを他のサイトから読み込もうとした時だけでなく、同じサイトから読み込もうとした時にも失敗します。一方、 SAMEORIGIN を指定した場合は、フレームの中のページを含むサイトが、ページを提供しているサイトと同じである限り、フレーム内でページを利用することができます。

DENY

ページをフレーム内に表示することは、それを試みているサイトが何であろうとできません。

SAMEORIGIN 非推奨;

ページは、すべての祖先フレームがページ自体と同じオリジンである場合にのみ表示できます。

ALLOW-FROM origin 非推奨;

これは古いディレクティブです。このディレクティブを持つレスポンスヘッダーに遭遇した現行のブラウザーは、そのヘッダーを完全に無視します。 HTTP の Content-Security-Policy ヘッダーには frame-ancestors ディレクティブがありますので、そちらを使用してください。

メモ: X-Frame-Options を <meta> 要素に設定しても(例えば、<meta http-equiv="X-Frame-Options" content="deny">)効果はありません。 X-Frame-Options は HTTP ヘッダーを通じて設定された場合のみ動作します。

Apache の設定

Apache で X-Frame-Options ヘッダーをすべてのページで送信するように設定するには、サイトの設定に以下の記述を追加してください。

apacheconf
Header always set X-Frame-Options "SAMEORIGIN"

Apache で X-Frame-Options を DENY に設定するには、サイトの設定に以下の記述を追加してください

apacheconf
Header set X-Frame-Options "DENY"

nginx の設定

Nginx で X-Frame-Options ヘッダーを送信するように設定するには、以下の記述を http、server、 location のいずれかの設定に追加してください。

nginx
add_header X-Frame-Options SAMEORIGIN always;

X-Frame-Options ヘッダーで DENY を設定するには、次のようにします。

nginx
add_header X-Frame-Options DENY always;

IIS の設定

IIS で X-Frame-Options ヘッダーを送信するように設定するには、サイトの Web.config ファイルに以下の設定を追加してください。

xml
<system.webServer><httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol></system.webServer>

詳しくは、IIS マネージャーのユーザーインターフェイスを使用してこの構成を設定する方法についてのマイクロソフトのサポート記事を参照してください。

HAProxy の設定

HAProxy で X-Frame-Options ヘッダーを送信するように設定するには、以下の記述を front-end、listen、backend のいずれかの設定に追加してください。

rspadd X-Frame-Options:\ SAMEORIGIN

他にも、より新しいバージョンでは次のような設定ができます。

http-response set-header X-Frame-Options SAMEORIGIN

Express の設定

X-Frame-Options ヘッダーを helmet を使用して SAMEORIGIN に設定するには、サーバー設定に次のものを追加してください。

js
const helmet = require("helmet");
const app = express();
app.use(
  helmet({
    xFrameOptions: { action: "sameorigin" },
  }),
);

仕様書

Specification
HTML
# the-x-frame-options-header

ブラウザーの互換性

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
X-Frame-Options
ALLOW-FROM
DeprecatedNon-standard
SAMEORIGIN

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
No support
No support
Non-standard. Check cross-browser support before using.
Deprecated. Not for use in new websites.
See implementation notes.

関連情報