ngyukiさん、こちらについてもご回答いただきありがとうございます。 １つ目を削除したところ、許可指定したドメインからインラインフレームで 呼び出せるようにはなりましたが、 許可指定した以外のドメインからでも全て呼び出せるようになってしまいました。 "SAMEORIGIN"で自ドメインのみ許可する記述を入れない場合、 デフォルトの全許可に対して、更に許可ドメインを追加していることに なってしまっているのかと思われます。 試しに記述の順番を変えてみましたが、やはり許可指定したドメインも含めて 弾かれてしまいました。

インラインフレームの中の URL に `curl -I http://example.com/` としたら、どのように表示されますか？

２ケースで試してみました。 1) add_header X-Frame-Options "ALLOW-FROM http://sample.com"; のみの場合 HTTP/1.1 200 OK Server: nginx Date: Tue, 20 Jan 2015 12:59:50 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 19465 Connection: close Vary: Accept-Encoding Set-Cookie: XXXXXXXXXXXXXXX X-Frame-Options: ALLOW-FROM http://sample.com 2) add_header X-Frame-Options "SAMEORIGIN";　も記述した場合 HTTP/1.1 200 OK Server: nginx Date: Tue, 20 Jan 2015 13:02:15 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 19465 Connection: close Vary: Accept-Encoding Set-Cookie: XXXXXXXXXXXXXXX X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM http://sample.com これだけ見ると、後者でも表示されてもいいような感じですが、 後者だとそのドメインでもコンテンツが表示されない状態に なってしまいます。

回答に追記しました。

ngyukiさん、ご回答の追記ありがとうございます。 以前、Apacheの.htaccessファイルに記述していた際は、 以下のように列記していて、普段使っているChromeで 意図した動作になっていたはずなのですが。。。 Header set X-Frame-Options "SAMEORIGIN" Header set X-Frame-Options "ALLOW-FROM http://sample.com" .htaccessファイルはウェブサーバ変更後も同じフォルダに残っているので、 この記述の仕方だったのは確実なのと、 普段使っているChromeでインラインフレームから実際に呼び出せていたのは、 Nginxに載せ替えるまでほぼ毎日確認できていたのですが。 参考リンクを見ると、自信がなくなってきました。(汗) いずれにしても、インラインフレームの呼び出し制限に関しては、 単純にインラインフレームからの呼び出しを全部弾くというならともかく、 指定したドメインだけ許可するというのは、 現状のブラウザでのサポートが不完全なので実質機能しないどころか、 逆に許可したいドメインでも見れなくなってしまうリスクがある ということですね。 ブラウザのサポートの問題となると、現状ではどうしようもないですが、 お陰さまでスッキリと諦めることができそうです。 ありがとうございました。

あ、Apache で下記の設定だと、前に書いているものが後に書いているもので上書きされます。 Header set X-Frame-Options "SAMEORIGIN" Header set X-Frame-Options "ALLOW-FROM http://sample.com" つまり、SAMEORIGIN の方は無いのと同じです。 もし、上書きではなくレスポンスヘッダの行を追加したければ set ではなく add です。 Header add X-Frame-Options "SAMEORIGIN" Header add X-Frame-Options "ALLOW-FROM http://sample.com" （同じ名前のヘッダが２行になりますが・・・）