Encabezados HTTP | Opciones de marco X

Los encabezados HTTP se utilizan para pasar información adicional con respuesta HTTP o requests HTTP. X -Frame-Options se utiliza para evitar que el sitio sufra ataques de clickjacking . Define si se debe permitir o no que un navegador represente una página en un <frame> , <iframe> , <embed> u <object> . La directiva frame-ancestors presente en Content-Security-Policy (CSP) obsoleta X-Frame-Options. 

Sintaxis:  

X-Frame-Options: directive

Directivas:  

  • denegar: esta directiva evita que el sitio se represente en <frame> , es decir, el sitio no se puede incrustar en otros sitios.
  • sameorigin: esta directiva permite que la página se represente en el marco si el marco tiene el mismo origen que la página.
  • allow-from uri: esta directiva ahora se ha vuelto obsoleta y no debe usarse. No es compatible con el navegador moderno. En esto, la página se puede representar en el <frame> que se origina en el uri especificado.

Ejemplos:  

  • En Apache: 
    para enviar X-Frame-Options a todas las páginas del mismo origen, establezca esto en la configuración de su sitio.
Header always set X-Frame-Options "sameorigin"
  • Abra el archivo httpd.conf y agregue el siguiente código para denegar el permiso
header always set x-frame-options "DENY"
  • En Nginx: abra el archivo de configuración del servidor y agregue el siguiente código para permitir solo desde el mismo origen
add_header x-frame-options "SAMEORIGIN" always;

Navegadores compatibles: los navegadores compatibles con X-Frame-Options se enumeran a continuación: 
 

  • Cromo
  • explorador de Internet
  • Safari
  • Firefox
  • Borde

Nota: Solo Internet Explorer y Microsoft Edge admiten la directiva allow-from .
 

Publicación traducida automáticamente

Artículo escrito por aman neekhara y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *