今回はクリックジャッキングを防ぐ、「X-FRAME-OPTIONS」の具体的な設定を解説する。 攻撃を受けたくないウェブサイト側が、外部サイト上のframe要素またはiframe要素として表示されることの可否を宣言 「X-FRAME-OPTIONS」に対応したウェブブラウザは、ウェブサイトからの宣言を読み、表示が許可されていない場合は、そのコンテンツの読み込みを拒否する クリックジャッキング攻撃への対策をとろうとするウェブサイト運営者は、X-FRAME-OPTIONSをHTTPレスポンスヘッダーに書き込むことで2つのパターンを選択できる。一つはすべてのframe要素またはiframe要素としての表示を禁止するパターンと、同じドメインのframe要素またはiframe要素での表示だけを許可する方法である。 「DENY」、「SAMEORIGIN」の値をとる。それぞれの設定値の違いは表1の通りで
![第3回 ブラウザとサーバーが連携、外部サイトからの表示を拒否する](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)