ファーストサーバーのギガシリーズで共用SSLを使っていたページを、Facebookページのタブにiframeとして表示させていたのですが、Zenlogicに移行してから何故かiframe内のページが表示されなくなったので調べてみました。
Facebookページのiframeの中身が表示されない
Facebookアプリのページへアクセスすると、このようなエラー画面が表示されてしまいました。
原因はクリックジャッキング対策によるもの
調べてみると、どうやらZenlogicサーバーに標準で有効になっているクリックジャッキング対策が影響しているようでした。ちなみに、クリックジャッキング対策とは
ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法
https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0
とのことで、iframeを使うとことでセキィリティ上、重大な問題を引き起こしてしまう可能性があるようです。
クリックジャッキング対策を回避する
セキュリティ上のリスクは出てくると思いますが、どうしてもZenlogicのクリックジャッキング対策を回避したい場合は、.htaccessに以下の記述を追加します。|
1 |
Header always unset X-Frame-Options |
コメント