iframe埋め込みを禁止してクリックジャッキング攻撃を防ぐ

概要説明

iframe,embed,objectタグからの埋め込みを禁止させたい時のカスタマイズ。埋め込んだコンテンツを自コンテンツのように表示させ、ボタンなどは任意の内容を実行させる行為を防ぎやすくなります。

.htaccess
<ifModule mod_headers.c>
    Header set X-Frame-Options DENY
    Header set Content-Security-Policy "frame-ancestors 'none';"
</ifModule>

functions.phpでiframe制御する場合

functions.php
/*----------------------------------------------------
 iframe埋め込みの制御
----------------------------------------------------*/
if ( !function_exists( 'deny_iframe_http_headers' ) ){
    function deny_iframe_http_headers() {
        header('X-FRAME-OPTIONS: DENY');       // 禁止
        //header('X-FRAME-OPTIONS: SAMEORIGIN'); // 自サイトのみ許可
    }
    add_action( 'send_headers', 'deny_iframe_http_headers' );
}

関連機能

  1. WordPress「 &#038; 」のコードが意図していない箇所に表示される場合の対応

  2. WordPress REST API を無効化 ( 管理者ログイン時、Contact Form 7 プラグイン利用時は有効 )

  3. WordPress 国内IPからのアクセスだけ許可する制限を設けたい場合 ( .htaccess )

サイドバー

よく使うカスタマイズ

最近の記事

アニメの名言集

人とは哀れなものだね
己にないもの程欲しくなる
届かぬものに程手をのばす

銀魂
by 神威

Profile

PAGE TOP
Amazon プライム対象