ウェブページに埋め込まれたフレームを使用してのリンクの盗用やトラフィックのリダイレクトは一般的です。また、XSS 攻撃にも使用されることがあります。もし攻撃を受けた場合、HTTP レスポンスヘッダーに X-Frame-Options を設定することで解決できます。ただし、この解決方法は X-Frame-Options をサポートしているブラウザーにのみ有効です。
X-Frame-Options は、ブラウザーに対して特定のページが、
HTTP レスポンスヘッダーの X-Frame-Options 属性を使用する方法
X-Frame-Options の属性パラメーター:
DENY:このページはフレーム内で表示することを許可しません。同じドメインのページに埋め込まれていても許可されません。
SAMEORIGIN:このページは同じドメインのページのフレーム内で表示することができます。
ALLOW-FROM:このページは指定されたソースのフレーム内で表示することができます。
自身がフレームを使用しない場合は DENY に設定し、自身がフレームを使用する場合でも他の人がフレームを使用するのを防ぐためには SAMEORIGIN に設定します。
Nginx の設定に追加する
add_header X-Frame-Options SAMEORIGIN;
Haproxy の設定に追加する
rspadd X-Frame-Options:\ SAMEORIGIN
これにより、フレームの XSS 攻撃を効果的に防ぐことができます。
参考: https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options