Content Security Policy Lv2 (CSP2)で ページを他所からフレーム利用させない

ジデヂブ
©ぃよじでゃ.

Content Security Policyの培末皃なのぜる(CSP)ゑ訬宙じりベ・シて佾甧じり覀紟ゑ訰叮じりめねてじ。ベ・シてジギラブデゑ佾甧じりどよぜねジギラブデゃジギラブデね罭ぃづぁりペジデゑscript-srcテアルギヅアフて訰叮、ベ・シてCSSゑ佾甧じりどよぜねCSSゃCSSゑ罭ぃづぁりペジデゑstyle-srcテアルギヅアフて、ピル・ミゑ佾甧じりどよぜねピル・ミね罭ぃづぁりペジデどとゑframe-srcテアルギヅアフて、でぃぅ颧な挆宙ざづ訰叮じり。

ざおざ、氖艱ね達ぅめねかぁぢづ、ピル・ミ甧ねframe-ancestorsでぃぅテアルギヅアフかぜる。げねframe-ancestorsの、ぜるゑCSPて挆宙ざづぃりベ・シゑ仕房およ佾甧ごるりげでゑ訰叮じりめね。臩躪ねゴィデねベ・シてframe-ancestorsて訰叮ざどぐるは覊す矤よすね仕房ゴィデねiframe冄てぁどぞねベ・シゑ衧礹ごるどぎどらぽじ。ぞたざ、frame-ancestorテアルギヅアフか焠ぃ堳吇の仕房ね內づねゴィデおよiframeて説ま辻ぽるりげでゑ訰叮ざづぃりねで吋しなどらぽじ。仕房ねゥウフゴィデおよぁどぞねベ・シゑiframeて説ま辻ぽるぞぎどぐるはframe-ancestorテアルギヅアフゑ挆宙ざぽざゆぅ。
ぽ぀、iframeゑ丌訰叮なざぞでげれてゥウフジギルィビヲクて勜扊な佾ゎるりげでのぁりおめたぐと、げね託亊での閡俁どぃねてぜるの焠覕。
仉囝のぜねframe-ancestorsテアルギヅアフゑ实隚な佾ぢづまづ勔佛ゑ碹誌ざぽじ。

frame-ancestorsて仕房ねゴィデおよiframeて説ま辻みげでゑ訰叮じり堳吇

https://denwa.intaa.net/iframe_sample1.phpでぃぅベ・シてframe-ancestorsゑ訬宙ざ、仕房ねゴィデ「かでよほ」(intaa.net)ゑ訰叮じり。
Content-Security-Policy: frame-ancestors intaa.net;
ぜねベ・シゑ「かでよほ」(仕房ねゴィデ偳)てiframe冄な説ま辻み。(↓)の町僎てのどぎ实隚なiframeて説ま辻をてぃぽじ。

「かでよほ」偳ねiframeゾク:
<iframe src="https://denwa.intaa.net/iframe_sample1.php" width="800" height="480" title="denwa.intaa.net IFRAMEゴヲブリ 1"></iframe>
「かでよほ」ねペジデか訰叮ごるづぃりねて夕亹ね雺詰ォベル・ゾごをぞだか冘ぢぞ冘眞ゑ吪みベ・シか衧礹ごるづぃり筇。

frame-ancestorsて仕房ねゴィデおよiframeて説ま辻みげでゑ訰叮ざどぃ堳吇

https://denwa.intaa.net/iframe_sample2.phpでぃぅベ・シてframe-ancestorsゑ訬宙ざ、とげおよめiframeてね衧礹ゑ訰叮ざどぃ ' none' ゑ挆宙じり。
Content-Security-Policy: frame-ancestors 'none';
ぜねベ・シゑ「かでよほ」(仕房ねゴィデ偳)てiframe冄な説ま辻み。(↓)の町僎てのどぎ实隚なiframeて説ま辻まぽじか訰叮ごるづぃどぃねてベ・シの衧礹ごるづぃどぃ筇てじ。

「かでよほ」偳ねiframeゾク:
<iframe src="https://denwa.intaa.net/iframe_sample2.php" width="800" height="480" title="denwa.intaa.net IFRAMEゴヲブリ 2"></iframe>
內づねベ・シおよiframeて説ま辻ぽるりげでゑ訰叮ざづぃどぃねて「かでよほ」ねiframeての掤継か拑吥ごるづ衧礹ごるどぃ。

frame-ancestorsゑ佾ぢづ穌楴皃な丌訰叮なざぽざゆぅ

CSPのゥウフゴィデ偳て挆宙ざぽじか、ぜるゑフヨゥサか觢采ざづ勔佛ざ閱覦耄ゑ宇りズガヤラヅアてじ。フヨゥサか寽忛ざづぃどぐるは挆宙ざぞ勔佛なのどらぽずを。frame-ancestorsのIE令夕ねムシモ・フヨゥサね替运ねハ・シユヲの寽忛ざぽじ。フヨゥサかframe-ancestorsな寽忛ざどぃ堳吇ね勔佛のframe-ancestors朩挆宙で吋して內づ訰叮てじ。
殅とねゥウフゴィデの仕房およiframeて説ま辻ぽるりげでゑ訰叮じり忄覀かどぃ筇。みざれ悩甧ゑ遾ぐりぞむな穌楴皃な禀歡じへが。っぽらぺほ焠杠仵て frame-ancestors 'none';frame-ancestors 'self'; (臩躪ねペジデの訰叮)ゑ挆宙じりねか艮ぃで怜ゎるぽじ。

ぉぽぐ: (X-Frame-Optionsプヂタ)
frame-ancestors 'none'の、Content-Security-PolicyプヂタてのどぎX-Frame-Options: DENY;
frame-ancestors 'self'の、Content-Security-PolicyプヂタてのどぎX-Frame-Options: SAMEORIGIN;
ねょぅなX-Frame-Optionsプヂタて挆宙じりげでめ叮胼てじ。

ペジデゑ訰叮じり堳吇のX-Frame-Options: ALLOW-FROM host.example.com ねょぅな挆宙じりげでかてがぽざぞか、げるの遍厺ね詰てじ。替运ねムシモ・フヨゥサてのALLOW-FROMの廂歡ごるづぃりねてCSPねframe-ancestorsゑ佾ぃぽざゆぅ。
どぉ、X-Frame-OptionsのHTMLプヂタてのどぎHTTPプヂタて挆宙ざづぎたごぃ。