X-Frame-Options Inspect
セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
X-Frame-Options を貼り付けて「解析」。値を一覧表示します。
注意(このツール)
- X-Frame-Options: のヘッダー行でも解析できます。
このページについて
何をするツール?
X-Frame-Options を解析し、DENY / SAMEORIGIN などの設定値を一覧表示します。
クリックジャッキング対策の確認や、埋め込み許可の方針確認に向きます。
X-Frame-Optionsの基本
- ページが iframe で表示されるかどうかを制御します。
- DENY は完全に拒否、SAMEORIGIN は同一オリジンのみ許可です。
- ALLOW-FROM は一部ブラウザで非推奨/未対応です。
使いどころ
- 管理画面や決済ページのクリックジャッキング対策
- 埋め込み許可を見直してセキュリティを強化
- CSPの frame-ancestors と合わせて確認
代表的な値
- DENY:どのオリジンからも埋め込み不可
- SAMEORIGIN:同一オリジンのみ埋め込み可
- ALLOW-FROM uri:特定オリジンのみ(非推奨)
構文(読み方)
基本は「X-Frame-Options: DENY」または「X-Frame-Options: SAMEORIGIN」の1値指定です。
ALLOW-FROM は指定形式が古く、現代ブラウザでは非推奨/未対応が多いため、許可元を細かく制御したい場合は CSP の frame-ancestors を使うのが一般的です。
セキュリティ観点(クリックジャッキング)
クリックジャッキングは、透明なiframe等で本物のUIを覆い、ユーザーに意図しないクリックをさせる攻撃です。X-Frame-Options は「そもそも埋め込ませない」ことで攻撃面を減らします。
- 影響が大きいページ:管理/設定/決済/権限付与/パスワード変更など
- 埋め込みが不要なら DENY がシンプル
CSP frame-ancestors との関係
現在の推奨は CSP の frame-ancestors です。許可するオリジンを列挙でき、より柔軟に制御できます。
- 互換性のため、CSP + X-Frame-Options を併用する構成もあります。
- CSPの解析は CSP Inspect で確認できます。
よくある落とし穴
- ALLOW-FROM を指定したが対応ブラウザが限られている
- CSPの frame-ancestors と競合して期待通り動かない
- 埋め込みが必要なページに DENY を付けてしまう
運用フロー(おすすめ)
- 対象ページが埋め込みを必要とするか整理(社内ツール/ウィジェット等)
- 不要なら DENY、必要なら CSP frame-ancestors で許可元を列挙
- 実ページでiframe埋め込みの可否を検証(ブラウザ差も確認)
このツールでできること
- X-Frame-Options 値の分解表示
- ALLOW-FROM の有無確認
- 埋め込み可否の可視化
注意(運用)
- 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
- 本番では段階導入とレポート監視を併用してください。
参照仕様
- RFC 7034(X-Frame-Options)
- MDN: X-Frame-Options
FAQ
CSPのframe-ancestorsとどちらを使う?
現在はCSPのframe-ancestorsが推奨です。ただし互換性のためX-Frame-Optionsも併用されます。
SAMEORIGIN は安全?
同一オリジンの埋め込みは許可するため、必要な場合に限定して使うのが基本です。不要ならDENYの方が明確です。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
同テーマの導線
セキュリティヘッダー
不足ヘッダーの検出から修正計画まで一気に進める
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
- CSP Builder — テンプレートからCSPを組み立て
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- CSP Inspect — CSPディレクティブを分解して評価
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
- Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
- X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
Example
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN