1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Implementación del encabezado "X-Frame-Options"
Esta guía detalla el encabezado "X-Frame-Options" que se puede utilizar para protegerse, entre otros, de ataques de clickjacking. Tenga en cuenta que el encabezado "X-Frame-Options" puede no ser compatible con todos los navegadores web. Por lo tanto, se recomienda combinarlo con otros métodos para reforzar la seguridad de su sitio web.
Valores posibles para el encabezado
La cabecera "X-Frame-Options" se puede definir para evitar que un sitio web se cargue en un marco o una iframe. Existen tres valores posibles para esta cabecera:
- "DENY": el sitio web no puede ser cargado en un marco o una iframe
- "SAMEORIGIN": el sitio web puede ser cargado en un marco o una iframe solo si la fuente del marco o la iframe pertenece al mismo dominio que el sitio web
- "ALLOW-FROM uri": el sitio web puede ser cargado en un marco o una iframe únicamente desde la URI especificada
Puede definir este encabezado agregando las siguientes líneas a su archivo .htaccess:
Header set X-Frame-Options "DENY"
o utilizando la función header() de PHP, ya que este se ejecuta en FPM, de la misma manera que al desactivar el HSTS, por ejemplo:
header('X-Frame-Options: DENY');
Reemplace "DENY" por el valor deseado para este encabezado.