読者です 読者をやめる 読者になる 読者になる

by shigemk2

当面は技術的なことしか書かない

Refused to display in a frame because it set X-Frame-Options to DENY

web

developer.mozilla.org

つまりどういうことかというと、こういうHTMLがあったとして、 gist.github.com iframeのなかのリンクをクリックしようとすると、タイトルのようなエラーになるっていう話。

この動作がなぜダメかというと、IPAや徳丸先生が詳細に説明してくださっており、「クリックジャッキング」対策(iframeで見えている部分と同じ箇所にもう一つ透明な別のページを仕込み、意図しない動作をさせること)としてこういうヘッダーオプションがついた。 IPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記 http://www.ipa.go.jp/files/000026479.pdf

で、このオプションはApacheとかnginxとかサーバーサイド側で制御してる(クライアント側でもこのオプションをDENYじゃなくさせることは出来るっぽいが)