スキップしてメイン コンテンツへ

X フレームオプションヘッダーを使用して framesniffing を軽減する

注: 最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。簡単に参照できるように、こちらに英語の記事があります。

要約

Framesniffing は、ブラウザーの機能を利用して web サイトからデータを盗む攻撃手法です。クロスドメインの IFRAME でコンテンツをホストできるようにする Web アプリケーションは、この攻撃に対して脆弱になる可能性があります。

管理者は、IIS を構成して framesniffing を軽減することで、コンテンツがクロスドメインの IFRAME でホストされるのを防ぐ HTTP 応答ヘッダーを送信できます。

詳細情報

X フレーム-Options ヘッダーを使って、ページを IFRAME に入れることができるかどうかを制御できます。Framesniffing の手法は、IFRAME に被害者サイトを配置できることを前提としているため、適切な X フレームオプションヘッダーを送信して、web アプリケーション自体を保護することができます。

特定のサイトのすべての応答に X フレームオプションヘッダーを追加するように IIS を構成するには、次の手順を実行します。

  1. インターネットインフォメーションサービス (IIS) マネージャーを開きます。

  2. 左側の [接続] ウィンドウで、[サイト] フォルダーを展開し、保護するサイトを選択します。

  3. 中央の機能リストの [HTTP 応答ヘッダー] アイコンをダブルクリックします。

  4. 右側の [操作] ウィンドウで、[追加] をクリックします。

  5. 表示されたダイアログボックスで、[名前] フィールドに「X フレーム-オプション」と入力し、[値] フィールドに「SAMEORIGIN」と入力します。

  6. [OK] をクリックして変更を保存します。


この構成を必要とする他のサイトがある場合は、それらのサイトについても手順 2 ~ 6 を繰り返します。

この変更により、他のドメインの HTML ページが IFRAME でサイトをホストするのを防ぐことができます。たとえば、Contoso IT 部門がこの変更を http://contoso.com に適用した場合、http://fabrikam.com のページでは、IFRAME の http://contoso.com からコンテンツを表示することはできなくなります。

他のすべてのドメインをブロックしている間に、http://fabrikam.com が http://contoso.com をフレームにすることを許可するために、X-frame-Options ヘッダーの値を変更することができます。これを行うには、手順5の [X-Frame-Options] ヘッダーの値を http://fabrikam.com から [許可] に変更します。

X-Frame-Options ヘッダーの詳細については、この MSDN ブログの記事を参照してください。

変更を元に戻すには、次の手順を実行します。

  1. インターネットインフォメーションサービス (IIS) マネージャーを開きます。

  2. 左側の [接続] ウィンドウで、[サイト] フォルダーを展開し、この変更を行ったサイトを選択します。

  3. 中央の機能一覧で、[HTTP 応答ヘッダー] アイコンをダブルクリックします。

  4. 表示されるヘッダーの一覧で、[X-フレーム-オプション] を選択します。

  5. 右側の [操作] ウィンドウで [削除] をクリックします。

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する