- 締切済み
x-frame-options: DENYについて
クリックジャッキング対策で x-frame-options の設定を x-frame-options: DENYにしたのですが、 Google 広告のiFrameの表示は制御されず、広告が表示されています。 (添付ファイル参照) この挙動自体は実はありがたいのですが、 x-frame-options: DENYにしても、 なぜ Google の広告が表示されるのかご存知の方、ご教授頂けると幸いです。 Javasciptのdom操作等で後からiFrameが生成された場合は制御されない、という事なのでしょうか?
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- 256hax
- ベストアンサー率0% (0/0)
回答No.1
chic_punkさん こちらに載っていたので日本語翻訳しますと「このヘッダーが複数回設定されている場合、ブラウザは同じヘッダーの複数のインスタンスを1つに凝縮するため、ディレクティブが失敗する可能性があります。」と書かれていました。 ヘッダーを複数回、出力されていないか、ご確認いただくとよいかもしれません。 https://security.stackexchange.com/questions/146548/x-frame-options-header-doesnt-prevent-showing-site-in-iframe ご参考までに。
お礼
256hax様 ご回答ありがとうございます。 参考になります。 しかしながら、 ヘッダーに正しく x-frame-options: DENY が返ってきている事から、設定は正しいと思われます。 念のため、Apacheの設定を確認しましたが、 複数設定とはなっていませんでした。 また何かございましたらアドバイスを頂けると幸いです。