TUTORIALS BLOG

DjangoBrothers BLOG ✍️

最新記事

Python 文字列から絵文字を除外・置換する方法

DRFでモデルのpropertyメソッドをシリアライズする

Django プライマリーキーにUUIDを使った時のsaveメソッドのオーバーライド方法

social-auth-app-djangoで401や403エラーが出たときに確認すること

Djangoサイトをiframeで表示させる方法

Web開発入門本発売中!

タグ

Django(50) Python(19) モデル(16) クエリセット(9) データベース(7) デプロイ(6) フロントエンド(5) django-debug-toolbar(4) Heroku(4) セキュリティ(4) デバッグ(4) ログイン(4) テスト(4) Admin(3) テンプレート(3) FileField(3) パフォーマンス向上(3) SQL(3) DjangoRESTFramework(3) social-auth-app-django(2) ManyToMany(2) LINE API(2) datetime(2) CSRF(2) ForeignKey(2) Markdown(2) File(2) メール(2) Google Analytics(1) FactoryBoy(1) requests(1) 環境構築(1) Flake8(1) Celery(1) 非同期処理(1) Docker(1) SNS認証(1)

関連記事

Python製WebフレームワークDjangoのメリット・デメリット

Django2.0から必須になったon_deleteの使い方

Django 仮パスワードを生成して更新する

データの個数や最高値、平均値を取得してみよう

Fixtureの使い方 初期データ追加を自動化しよう!

2022/08/12

このエントリーをはてなブックマークに追加
Django セキュリティ

Djangoサイトをiframeで表示させる方法

Djangoで作ったサイトは、デフォルトだとiframeで表示させることができません。

sample.html

<iframe src="https://Djangoで作ったサイト.com" frameborder="0"></iframe>

このように書いても画像のようになってしまいます。

これはクリックジャッキングを防ぐことを目的としていて、悪意のあるサイトのiframeでDjangoサイトを勝手に利用されることを防いでいます。

同じオリジンにのみiframe利用を許可したい場合は、 X_FRAME_OPTIONS = 'SAMEORIGIN' をsettings.pyに追記することで実現可能です。

特定のサイトでiframe表示を許可する

同じオリジン以外の、ある特定の外部サイトに対してiframe表示を許可させたい場合もあると思います。その場合は、レスポンスヘッダーに Content-Security-Policy: frame-ancestorsを設定します。

Content-Security-Policy: frame-ancestors https://example.com https://example2.com; のような形で指定します。

django-cspというライブラリを使うと簡単に設定できます。

参考