Iframeを無効にするためのHTTPヘッダーページ

Question

iframeを使用して他のサイトが自分のページを埋め込むことを禁止（または制限）したいときに、Webサーバーによって提供されるヘッダーXフレームオプションがあります。

ただし、ブラウザに「このページにIframeを読み込まないようにする」というヘッダーがありますか？

もちろん、ブラウザにどのドメインのスクリプトが実行を許可されているかをブラウザに伝えるヘッダーがありますが、より一般的なものが必要です。「iframeを許可しないでください。このページに読み込まれます。 "

Answer 1

Content-Security-Policy（CSP）を使用して、iframeを含むページのコンテンツを制限することができます。具体的には、frame-src directive。次のHTTPヘッダーを設定した場合、ページにiframeは許可されません。

Content-Security-Policy: frame-src 'none'

あなたが唯一の特定の起源からのiframeを使用して、example.comからのiframeを許可するように次の操作を行うことができようにしたい場合は

、およびすべてのサブドメイン：あなたが設定することもでき

Content-Security-Policy: frame-src http://*.example.com

メタタグによるCSPポリシー