X-Frame-Options ヘッダー

構文

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

ディレクティブ

DENY

ページは、どのサイトから試みられてもフレーム内で表示できません。他のサイトから読み込まれた場合だけでなく、同じサイトから読み込まれた場合でも、ブラウザーがページをフレーム内で読み込もうとする試みは失敗します。

SAMEORIGIN

ページは、そのフレームの祖先がすべてページ自体と同じオリジンである場合にのみ表示できます。ページをフレームで含むサイトが、ページを提供するサイトと同じである限り、フレーム内でページを使用することが可能です。

ALLOW-FROM origin 非推奨;

これは古いディレクティブです。このディレクティブを持つレスポンスヘッダーに遭遇した現行のブラウザーは、そのヘッダーを完全に無視します。 HTTP の Content-Security-Policy ヘッダーには frame-ancestors ディレクティブがありますので、そちらを使用してください。

例

Apache の設定

Apache で X-Frame-Options ヘッダーをすべてのページで送信するように設定するには、サイトの設定に以下の記述を追加してください。

Header always set X-Frame-Options "SAMEORIGIN"

Apache で X-Frame-Options を DENY に設定するには、サイトの設定に以下の記述を追加してください

Header set X-Frame-Options "DENY"

nginx の設定

Nginx で X-Frame-Options ヘッダーを送信するように設定するには、以下の記述を http、server、 location のいずれかの設定に追加してください。

add_header X-Frame-Options SAMEORIGIN always;

X-Frame-Options ヘッダーで DENY を設定するには、次のようにします。

add_header X-Frame-Options DENY always;

IIS の設定

IIS で X-Frame-Options ヘッダーを送信するように設定するには、サイトの Web.config ファイルに以下の設定を追加してください。

<system.webServer>
  …
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  …
</system.webServer>

詳しくは、IIS マネージャーのユーザーインターフェイスを使用してこの構成を設定する方法についてのマイクロソフトのサポート記事を参照してください。

HAProxy の設定

HAProxy で X-Frame-Options ヘッダーを送信するように設定するには、以下の記述を front-end、listen、backend のいずれかの設定に追加してください。

rspadd X-Frame-Options:\ SAMEORIGIN

他にも、より新しいバージョンでは次のような設定ができます。

http-response set-header X-Frame-Options SAMEORIGIN

Express の設定

X-Frame-Options ヘッダーを helmet を使用して SAMEORIGIN に設定するには、サーバー設定に次のものを追加してください。

import helmet from "helmet";

const app = express();
app.use(
  helmet({
    xFrameOptions: { action: "sameorigin" },
  }),
);

仕様書

ブラウザーの互換性

関連情報

• Content-Security-Policy の frame-ancestors ディレクティブ
• ClickJacking Defenses - IEBlog
• Combating ClickJacking with X-Frame-Options - IEInternals