Synergy!LEADのフォーム機能には、セキュリティを強化するために（脆弱性対策として）HTTPヘッダを付与する機能を備えています。

この機能により、クリックジャッキングやクロスサイトスクリプティングを防ぎ、より安全にフォーム機能をご利用いただけるようになります。

2020年6月23日以降にご契約いただいたSynergy!LEADでは、「iframeなどからのフォーム呼び出しに関する設定」の初期設定が「iframeなどからフォームの呼び出しを禁止」になります。
また、クロスサイトスクリプティング対策として「X-Content-Type-Options」が自動的に付与されます。 

これらはフォームを表示した際のHTTPヘッダに追加されるため、HTMLソース内に情報が追加されるものではありません。

付与されるHTTPヘッダの詳細

X-Frame-Options設定（クリックジャッキング対策）

「iframeなどからのフォーム呼び出しに関する設定」によって追加されるHTTPヘッダです。
クリックジャッキングと呼ばれるiframe（インラインフレーム）で表示させた透明のページ（フォーム）を悪質なWebページの上にかぶせ、利用者に意図しない動作をさせようとする攻撃手法の防御に有効です。

X-Content-Type-Options設定（クロスサイトスクリプティング対策）

MIMEスニッフィングと呼ばれるファイルダウンロード時にファイル形式をブラウザに誤認させてスクリプトを実行させてしまうような攻撃手法（XSS攻撃）の防御に有効です。
フォームを表示した際のHTTPヘッダに【X-Content-Type-Options: nosniff】を追加し、ファイルの内容をContent-Type属性から正しく判断させることで、誤認を防ぎます。
※Internet Explorer8以下に有効でその他のブラウザやバージョンではこの脆弱性はありません。

実際の設定画面

フォームセキュリティ設定の詳細

iframeなどからのフォーム呼び出しに関する設定

X-Frame-Optionsに関する設定を追加します。

iframeなどからフォームの呼び出しを禁止

フォームを表示した際のHTTPヘッダに【X-Frame-Options: DENY】を追加し、他のWebページのiframe（インラインフレーム）内にフォームが表示されることを防ぎます。

※フォーム内に別のページをiframeで読み込むことは禁止しません。

指定するドメインからのみ、iframeなどからフォーム呼び出しを許可

フォームを表示した際のHTTPヘッダに【X-Frame-Options: ALLOW-FROM <指定ドメイン>】と【Content-Security-Policy: frame-ancestors <指定ドメイン>】を追加し、枠内に指定したドメインページのみでWebページのiframe（インラインフレーム）内にフォームが表示されることを許可します。

https://から始まるURLが指定できます。
・ポート番号は任意です。
・サブドメインにワイルドカードが利用できます。
・複数指定する場合はドメイン同士を半角スペースで区切り、4000文字以内におさめてください。

【ドメイン設定の例】
１つの場合：
https://*.synergy-marketing.co.jp/
複数の場合：
https://*.synergy-marketing1.co.jp/ https://*.synergy-marketing2.co.jp/

iframeなどでのフォーム呼び出しを許可

フォームを表示した際のHTTPヘッダには何も追加しません。