¿Cómo agregar encabezados HTTP ‘X-Frame-Options’ en iframe?

Etiqueta de marco en línea en HTML: la etiqueta iframe se usa para mostrar o incrustar otro documento dentro de un documento HTML. Uno de sus atributos ‘src’ se usa para especificar la URL del documento que se va a mostrar. Las opciones de marco X de un sitio pueden impedir que se muestre un documento HTML dentro de otro.

Opciones de X-Frame: Las Opciones de X-Frame no son un atributo del iframe o marco o cualquier otra etiqueta HTML. Es un encabezado de respuesta y también se conoce como encabezados de seguridad HTTP. Este encabezado le dice al navegador si mostrar o no el documento HTML en la URL especificada. Esto juega un papel importante para prevenir ataques de clickjacking. Por lo tanto, las opciones de X-Frame no se pueden configurar en el cuerpo de un documento HTML. Lo establece el dominio desde el que se solicita el recurso. Las opciones de X-Frame disponibles son:

  • denegar: evita que cualquier URL se represente dentro de los contenedores como iframe, marco, objetos, applets. Incluso si la página es del mismo sitio, cuando la opción X-Frame está configurada en ‘denegar’, no se procesa.
  • SAMEORIGIN: Permite renderizar páginas del mismo origen. Se permitirá que se muestre la página del mismo sitio.
  • ALLOW-FROM uri : permite los documentos HTML solo desde el uri especificado.

Se pueden configurar las opciones de X-Frame en la configuración web del sitio que se va a cargar en un iframe.

Para configurar en IIS escribir:

<httpProtocol>
  <customHeaders>
      <add name="X-Frame-Options" value="sameorigin"/>
  </customHeaders>
</httpProtocol>

Para configurar Apache:

Header always set X-Frame-Options "sameorigin"

Nota: Los navegadores Edge (versión 12 y superior), Internet Explorer (versión 8 y superior) admiten ALLOW-FROM uri en X-Frame-Options.

Publicación traducida automáticamente

Artículo escrito por erakshaya485 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *