Manual:$wgEditPageFrameOptions
| セキュリティ: $wgEditPageFrameOptions | |
|---|---|
| ウィキ ページのフレーム化をグローバルに制御する。 |
|
| 導入されたバージョン: | 1.16.1 |
| 除去されたバージョン: | 使用中 |
| 許容される値: | (文字列) または false |
| 既定値: | 'DENY' |
| その他の設定: アルファベット順 | 機能順 | |
この変数は、編集ページなど、クリックジャック攻撃の影響を受けるページに送信する X-Frame-Options ヘッダーを決定します。
この変数は、それらのページがフレームやインライン フレーム (iframe) 内で表示されるのを防止します。
オプションは以下の通りです:
'DENY'- フレーム化を許可しません。 大部分のウィキでは、この設定をお勧めします。
'SAMEORIGIN'- 同じドメインでのページのフレーム化を許可します。 信頼できるオリジンでフレーム化を許可するために使えます。 同じオリジンに、任意の複数のURLにフレーム化を認めるページがある場合には、危険性が高くなります。
false- フレーム化をすべて許可します。 これはウィキを XSS 攻撃の標的にしてしまい、ローカルの利用者アカウントをすべて危険にさらします。 企業のファイアウォールの背後にあるプライベートウィキは、特に脆弱です。 この設定はお勧めしません。