iframe要素での参照等を制御できる(X-)Frame-Optionsヘッダーでは常に拒否するDENYと他者からの参照のみを拒否するSAMEORIGINが定められており、多くの現行ブラウザーで実装済み。それに加えて許可するドメインを指定できるALLOW-FROMが定められようとしている。もう実装はあるのかな……と2012/04/25現在での現行ブラウザーでざっと調べた感じでは、Internet Explorer 9(と10)だけ対応していた。他のブラウザーはALLOW-FROMを使うとどこからでも参照できるようになる。 以下は未来の自分へのメモ。 Header set X-Frame-Options "SAMEORIGIN" <FilesMatch "^foo.html$"> Header set X-Frame-Options "ALLOW-FROM http://screenquer
![Frame-OptionsのALLOW-FROM](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fc5b6ec7d186773f8c76055557fe2c6ad65585a/height=288;version=1;width=512/https%3A%2F%2Fhail2u.net%2Fimg%2Fblog%2Fx-frame-options-error-on-ie9.png)