X-Frame-Options HTTP レスポンスヘッダは、ブラウザがページを frameタグ または iframeタグの内部に表示することを許可するかを示すことができます。
"X-"はどういう意味なのか気になる
サイトはこのレスポンスヘッダを、クリックジャッキング攻撃を防止するために使用することができます。
よりセキュアにするため。もはや必須か。
3つの属性を指定できる
DENY
サイト側の意図に関わらず、ページをフレーム内に表示することはできません。
SAMEORIGIN
自身と生成元が同じフレーム内に限り、ページを表示することができます。
ALLOW-FROM uri
指定された生成元に限り、ページをフレーム内に表示できます。
ApacheやnginxなどのWebサーバで設定できる。
アプリケーションレベルでの対応は必要なさそう。
- X-Frame-Options レスポンスヘッダ - HTTP | MDN
https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options