Apache 서버 iframe 에 외부 페이지가 뜨지 않는 경우

안녕하세요 WONY입니다.

iframe에 외부 url을 넣을 경우 페이지가 분명 존재함에도 불구하고 iframe에 표시가 되지 않을 때가 있습니다

이때 iframe 이 포함된 페이지의 크롬 개발자 도구를 열고 Console을 보면 아래와 같은 메시지를 확인할 수 있습니다.

 

Refused to display 'https://example.com/' in a frame because it set 'X-Frame-Options' to 'sameorigin'.

 

위 내용을 보면 X-Frame-Options라는 내용이 있는데 X-Frame-Options 은 숨겨진 링크를 사용자를 속여 클릭하게 만드는 Clickjacking을 방지하기 위한 옵션으로 X-Frame-Options의 경우 아래와 같이 3가지 옵션이 존재합니다.

 

1. DENY
2. SAMEORIGIN
3. ALLOW-FROM http://example.com/

DENY의 경우 iframe에 페이지를 표시할 수 없으며,
SAMEORIGIN의 경우 같은 도메인을 사용하는 사용하는 페이지만 표시할 수 있으며,
ALLOW-FROM의 경우 지정한 도메인의 페이지만 iframe에 표시할 수 있습니다.

 

위 설정은 HTML에서 변경할 수 없고 서버 관리자에 의해서 수정될 수 있습니다.

Ubuntu 16.04 LTS Apache2의 경우

/etc/apache2/conf-available/security.conf 파일을 수정함으로써 변경 또는 사용을 중지할 수 있습니다.

 

# Setting this header will prevent other sites from embedding pages from this
# site as frames. This defends against clickjacking attacks.
# Requires mod_headers to be enabled.
#
Header set X-Frame-Options: "sameorigin"

 

대략 70번째 줄에 위치하고 있으며 큰 따옴표 안에 값을 변경하면 된다 사용하지 않을 경우  Header 앞에 #으로 주석을 걸어 줌으로써 기능을 정지시킬 수 있습니다.

 

자세한 내용은 아래의 링크를 참고하시기 바랍니다.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options