iframeなどでクリックジャッキング対策をする際,.htaccessを次のように設定する.
# クリックジャッキング対策
Header always append X-Frame-Options SAMEORIGIN
<IfModule mod_headers.c>
Header set Content-Security-Policy "frame-ancestors 'self';"
</IfModule>X-Frame-Options の設定は古いものだが,一応残しておく.チェックしている場合もあるらしい.通常は frame-ancestors だけでOKなはず.
