1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Configuración del encabezado "X-Frame-Options"
Esta guía detalla el encabezado "X-Frame-Options" que se puede utilizar para protegerse, entre otras cosas, de ataques de clickjacking. Tenga en cuenta que el encabezado "X-Frame-Options" puede no ser compatible con todos los navegadores web. Por lo tanto, se recomienda combinarlo con otros métodos para mejorar la seguridad de su sitio web.
Valores posibles para el encabezado
El encabezado "X-Frame-Options" se puede definir para evitar que un sitio web se cargue en un marco o una iframe. Hay tres valores posibles para este encabezado:
- "DENY": el sitio web no se puede cargar en un marco o una iframe
- "SAMEORIGIN": el sitio web se puede cargar en un marco o una iframe solo si la fuente del marco o la iframe pertenece al mismo dominio que el sitio web
- "ALLOW-FROM uri": el sitio web se puede cargar en un marco o una iframe solo desde la URI especificada
Puede definir este encabezado agregando las siguientes líneas a su archivo .htaccess:
Header set X-Frame-Options "DENY"
o utilizando la función header() de PHP, ya que este se ejecuta en FPM, de la misma manera que al desactivar el HSTS por ejemplo:
header('X-Frame-Options: DENY');
Reemplace "DENY" por el valor deseado para este encabezado.