ヘッダーの説明
クリックジャッキングを防止するために使用されている 2 つのヘッダーは、X-Frame-Options と Content-Security-Policy です。
frame-ancestors が含まれている Content Security Policy Level 2 は、Internet Explorer、Edge、Opera Mini を除くすべてのブラウザの現行バージョンでサポートされており、Firefox 52 では部分的にのみサポートされています。完全なリストは、
http://caniuse.com/#feat=contentsecuritypolicy2 にあります。
X-Frame-Options Allow-From ヘッダーは、Internet Explorer バージョン 8 と Firefox バージョン 18 でサポートされていますが、Chrome、Safari、または Opera ではサポートされていません。 サポートされているブラウザのリストは、
https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Limitations にあります。
X-Frame-Options
• DENY - サイトがページをフレームに表示しようとするかどうかに関係なく、ページはフレームに表示されません。
• SAMEORIGIN - フレームのドメインがページのドメインと同じである場合にかぎり、ページはフレームに表示されます。
• ALLOW-FROM http://example.com - フレームのドメインが指定されているドメインである場合にかぎり、ページはフレームに表示されます。
Content-Security-Policy
• frame-ancestors ‘none’ - ドメインに関係なく、フレームにリソースがロードされるのを禁止します。
• frame-ancestors ‘self’ - ドメインが同じである場合にかぎり、フレームにリソースがロードされるのを許可します。
• frame-ancestors domain1.com domain2.com - 指定されているリストにドメインが含まれている場合にかぎり、フレームにリソースがロードされるのを許可します。