【Django】Refused to display(X-Frame-Options to deny)エラーの解決方法

Djangoアプリケーションでobjectタグやiframeタグを使用すると、画像やPDFは表示されない場合があります。
その際にブラウザの開発ツールを起動すると以下のようなエラーが表示しています。

Refused to display '画像URL' in a frame because it set 'X-Frame-Options' to 'deny'

上記エラーは、「フレーム内の画像表示は拒否されました、なぜならX-Frame-Optionsが拒否に設定されているからです」と記載されています。

まずはX-Frame-Optionsとは何か、そしてこのエラーを解決する方法を解説します。

X-Frame-Optionsはsettings.pyのX_FRAME_OPTIONSで設定します。
Django3.0からはX_FRAME_OPTIONSのデフォルト値が変更になりました。

Django3.0以前のデフォルトはX_FRAME_OPTIONS="SAMEORIGIN"でした。
それがセキュリティ強化により、X_FRAME_OPTIONS="DENY"がデフォルト値となりました。

そのためサイトでiframeなどを埋め込んでいる場合は、この設定を変更する必要があります。
変更しないと「Refused to display」のエラーが発生します。

Djangoアプリケーションで、Refused to display(X-Frame-Options to deny)エラーが発生した場合は、settings.pyに以下２文を追記してX-Frame-Optionsを変更しましょう。

X_FRAME_OPTIONS = 'SAMEORIGIN'

XS_SHARING_ALLOWED_METHODS = ['POST','GET','OPTIONS', 'PUT', 'DELETE']

上記２文を追記することで、Djangoアプリは同じサイト内であればフレーム（<frame>, <iframe>, <embed>, <object>）への表示を許可します。

DjangoアプリでのRefused to display(X-Frame-Options to deny)エラーが表示した際の解決方法はいかがでしたか。

今回はHTTPレスポンスヘッダーが問題解決のカギでしたね。

今回紹介したX-Frame-Optionsやクリックジャッキングという言葉はWeb製作者なら知っておくべき知識なので忘れないようにしましょう。