iframeとは
iframeはwebページの一部に別サイトのコンテンツなどを埋め込む為に使われます。
Google mapやYou Tubeを埋め込む為に使ったり、当サイトではhtml canvasコンテンツをWordPressに表示するためにも利用しています。
しかし、別のサイトから自サイトのコンテンツをiframeで無断利用される可能性や、クリックジャッキング攻撃に使われたりする可能性もあります。
自分のサイトがそのような悪意ある方法で利用されないように、他ドメインからのiframe読み込みを禁止する設定をしておくと良いです。
クリックジャッキング攻撃とは
クリックジャッキングとは、別のウェブサイトを装い、ページの利用者の意図しない動作(ボタンやリンクをクリックなど)をさせる行為。
自分のサイトが悪意ある使われ方をしないように対策しましょう
iframe呼び出しを禁止する
ドメイン直下の.htaccessに以下を記述します。
自分のドメイン以外からのiframe呼び出しを禁止
//自分のドメイン以外からのiframe呼び出しを禁止
Header always append X-Frame-Options SAMEORIGIN全てのiframe呼び出しを禁止
//全てのiframe呼び出しを禁止
Header always append X-Frame-Options DENYお好みの設定で良いと思いますが、全てのiframe呼び出しを禁止にしてしまうと、自分のコンテンツもこんなかんじで呼び出せなくなります。
基本的には「自分のドメイン以外からのiframe呼び出しを禁止」でいいと思います
関連記事 JavaScript
自サイトのコンテンツとユーザーを守る為のセキュリティ対策です