Los encabezados HTTP se utilizan para pasar información adicional con respuesta HTTP o requests HTTP. X -Frame-Options se utiliza para evitar que el sitio sufra ataques de clickjacking . Define si se debe permitir o no que un navegador represente una página en un <frame> , <iframe> , <embed> u <object> . La directiva frame-ancestors presente en Content-Security-Policy (CSP) obsoleta X-Frame-Options.
Sintaxis:
X-Frame-Options: directive
Directivas:
- denegar: esta directiva evita que el sitio se represente en <frame> , es decir, el sitio no se puede incrustar en otros sitios.
- sameorigin: esta directiva permite que la página se represente en el marco si el marco tiene el mismo origen que la página.
- allow-from uri: esta directiva ahora se ha vuelto obsoleta y no debe usarse. No es compatible con el navegador moderno. En esto, la página se puede representar en el <frame> que se origina en el uri especificado.
Ejemplos:
- En Apache:
para enviar X-Frame-Options a todas las páginas del mismo origen, establezca esto en la configuración de su sitio.
Header always set X-Frame-Options "sameorigin"
- Abra el archivo httpd.conf y agregue el siguiente código para denegar el permiso
header always set x-frame-options "DENY"
- En Nginx: abra el archivo de configuración del servidor y agregue el siguiente código para permitir solo desde el mismo origen
add_header x-frame-options "SAMEORIGIN" always;
Navegadores compatibles: los navegadores compatibles con X-Frame-Options se enumeran a continuación:
- Cromo
- explorador de Internet
- Safari
- Firefox
- Borde
Nota: Solo Internet Explorer y Microsoft Edge admiten la directiva allow-from .
Publicación traducida automáticamente
Artículo escrito por aman neekhara y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA