Questa guida dettaglia l'intestazione "X-Frame-Options", utilizzata per proteggere il tuo sito dagli attacchi di clickjacking (dirottamento di clic).

Valori per l'intestazione X-Frame-Options

Questa intestazione indica al browser se deve autorizzare o meno la visualizzazione della tua pagina in un tag <frame> o <iframe>.

1. "DENY" : Divieto totale. Il sito non può essere caricato in alcun frame, nemmeno provenienti dal tuo stesso sito.
2. "SAMEORIGIN" : Consente la visualizzazione in iframe solo se il sito padre ha lo stesso dominio del contenuto.

Implementare l'intestazione

Attraverso il file .htaccess (consigliato per tutto il sito) :

Header set X-Frame-Options "SAMEORIGIN"

Oppure tramite PHP (per una pagina specifica) :

<?php
header('X-Frame-Options: SAMEORIGIN');
?>

L'alternativa moderna: Content-Security-Policy (CSP)

Se devi autorizzare un sito esterno specifico (es: domain.xyz) a integrare il tuo contenuto, non utilizzare più X-Frame-Options ma l'intestazione seguente nel tuo .htaccess :

Header set Content-Security-Policy "frame-ancestors 'self' https://domain.xyz"

Questa regola consente al tuo sito ('self') e a domain.xyz di visualizzarti in un iframe.