Firefox web browser - Faster, more secure & customizable |
Firefox 4 Beta 5に導入されたX-Frame-Options機能は、現在のFirefoxリリース版の最新版となるFirefox 3.6.9にも取り込まれている。これですべての主要ブラウザの現行リリース版(IE8、Firefox 3.6.9+、Chrome 4.1.249.1042+、Safari 4+、Opera 10.50+)がX-Frame-Options機能に対応したことになる。
X-Frame-OptionsはHTTPレスポンスヘッダに指定するオプションヘッダのひとつ。レスポンスとして返されるコンテンツをフレームの内部に表示して良いかどうかを指定するといった機能になっている。指定できる値はSAMEORIGINとDENY。SAMEORIGINが指定されている場合、同じドメインからのサイトである場合にはフレーム内にコンテンツを使用可能、DENYの場合はどのドメインであってもフレームの中には表示できない、という指定になる。
このレスポンスヘッダが機能するようになると、コンテンツをそのままフレーム内に表示させ、周りに広告を張り付けるといったような悪用を防ぐことが可能になるほか、フレーム内のコンテンツの上にCSSのレイヤをもうひとつ張り付けて予期せぬ動作を起こさせるCSSレイヤ攻撃に対応することが可能になる。
X-Frame-Options機能はIE8に最初に導入された機能。デフォルトのセキュリティ機能になるか不透明な状況だったが、すべての主要ブラウザがサポートしたことで標準的な機能として使われる見通しがたった。