"X-FRAME-OPTIONS" は InternetExplorer 8.0 で導入された HTTP レスポンスヘッダです。単純に言うと、自サイトのコンテンツが外部のサイトのフレーム上に表示されることを制御します。それにより、透明度などを操作することでユーザのクリックを横取りするような企図を阻害することを狙っています。
X-FRAME-OPTIONS には "DENY" と "SAMEORIGIN" の二つが存在します。"DENY" は他の Web ページ上からの frame や iframe でのコンテンツ参照を禁止します。"SAMEORIGIN" は Top-level-browsing-context が一致しないページからの表示を禁止します。
"SAMEORIGIN" は判りづらいんですが、HTML 5 の "5 Web browsers" ではこう説明されています。
The browsing context with no parent browsing context is the top-level browsing context of all the browsing contexts nested within it (either directly or indirectly through other nested browsing contexts).
それ以上の親が存在しないブラウジングコンテキストは Top-level-browsing-context であると。で、ブラウジングコンテキストとは何よというと、この辺は HTML 5 のアプリケーションキャッシュでも使われているんですがまだ理解が追い付いていません。Mozilla developer center の "offline resources in Firefox" でも登場する概念なんですが。
とりあえず、当 blog のコンテンツは他ページからのフレームでの利用を想定していないので X-FRAME-OPTIONS "DENY" を設定しました。
