X-Frame-Options

概要

X-Frame-Optionsとは、HTTPヘッダフィールド(項目)の一つで、Webページを別のページ中のiframeタグやembedタグobjectタグから参照して埋め込み表示するのを許可するか指定するもの。

X-Frame-Optionsに対応したWebブラウザで閲覧する際、Webサーバ側が「X-Frame-Options: DENY」を指定すると、他のページからこれらの要素を介して埋め込み表示することは拒否される。同じサイトの別のページであっても拒否される。

一方、「X-Frame-Options: SAMEORIGIN」を指定すると、同じWebサイトを構成する別のページへの埋め込みは許可され、外部の他のサイトへの埋め込みは拒否される。サイトが同じ(同一オリジン)であるとは、厳密にはホスト名ポート番号URIスキームhttp://かhttps://か)がすべて一致していることを表す。

X-Frame-Options自体を指定しなければ、どのサイトからでも埋め込み表示が可能となる。以前は特定のサイトからのみ埋め込みを受け付ける「ALLOW-FROM」という設定値も存在したが、廃止された。外部からの埋め込み表示を拒否することで、クリックジャッキング攻撃などを防ぎやすくなるとされる。

(2021.10.31更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる