Etiqueta de marco en línea en HTML: la etiqueta iframe se usa para mostrar o incrustar otro documento dentro de un documento HTML. Uno de sus atributos ‘src’ se usa para especificar la URL del documento que se va a mostrar. Las opciones de marco X de un sitio pueden impedir que se muestre un documento HTML dentro de otro.
Opciones de X-Frame: Las Opciones de X-Frame no son un atributo del iframe o marco o cualquier otra etiqueta HTML. Es un encabezado de respuesta y también se conoce como encabezados de seguridad HTTP. Este encabezado le dice al navegador si mostrar o no el documento HTML en la URL especificada. Esto juega un papel importante para prevenir ataques de clickjacking. Por lo tanto, las opciones de X-Frame no se pueden configurar en el cuerpo de un documento HTML. Lo establece el dominio desde el que se solicita el recurso. Las opciones de X-Frame disponibles son:
- denegar: evita que cualquier URL se represente dentro de los contenedores como iframe, marco, objetos, applets. Incluso si la página es del mismo sitio, cuando la opción X-Frame está configurada en ‘denegar’, no se procesa.
- SAMEORIGIN: Permite renderizar páginas del mismo origen. Se permitirá que se muestre la página del mismo sitio.
- ALLOW-FROM uri : permite los documentos HTML solo desde el uri especificado.
Se pueden configurar las opciones de X-Frame en la configuración web del sitio que se va a cargar en un iframe.
Para configurar en IIS escribir:
<httpProtocol> <customHeaders> <add name="X-Frame-Options" value="sameorigin"/> </customHeaders> </httpProtocol>
Para configurar Apache:
Header always set X-Frame-Options "sameorigin"
Nota: Los navegadores Edge (versión 12 y superior), Internet Explorer (versión 8 y superior) admiten ALLOW-FROM uri en X-Frame-Options.
Publicación traducida automáticamente
Artículo escrito por erakshaya485 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA