Esta guía detalla el encabezado X-Frame-Options, utilizado para proteger su sitio contra los ataques de clickjacking (desevío de clics).

Valores para el encabezado X-Frame-Options

Este encabezado indica al navegador si debe permitir o no la visualización de su página en una etiqueta <frame> o <iframe>.

1. "DENY" : Prohibición total. El sitio no puede cargarse en ningún marco, incluso si proviene de su propio sitio.
2. "SAMEORIGIN" : Permite la visualización en iframe solo si el sitio padre tiene el mismo dominio que el contenido.

Implementar el encabezado

Mediante el archivo .htaccess (recomendado para todo el sitio) :

Header set X-Frame-Options "SAMEORIGIN"

O mediante PHP (para una página específica) :

<?php
header('X-Frame-Options: SAMEORIGIN');
?>

La alternativa moderna: Content-Security-Policy (CSP)

Si debe permitir que un sitio externo específico (por ejemplo, domain.xyz) integre su contenido, no use más X-Frame-Options, sino el siguiente encabezado en su .htaccess :

Header set Content-Security-Policy "frame-ancestors 'self' https://domain.xyz"

Esta regla permite que su propio sitio ('self') y domain.xyz lo muestren en un iframe.