1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Establecimiento del header "X-Frame-Options"
Esta guía detalla el header "X-Frame-Options" que puede utilizarse con el fin de protegerse, entre otras cosas, del ataque de clickjacking Tenga en cuenta que el header "X-Frame-Options" puede no ser compatible con todos los navegadores web. Por lo tanto, es aconsejable combinarlo con otros métodos para reforzar la seguridad de su sitio web.
Valores posibles para el header
El header "X-Frame-Options" se puede definir para evitar que un sitio web se cargue en un marco o en un iframe. Hay tres posibles valores para este header:
- "DENY": el sitio web no puede ser cargado en un marco o en un iframe
- "SAMEORIGIN": el sitio web sólo puede ser cargado en un marco o en un iframe si la fuente del marco o del iframe pertenece al mismo dominio que el sitio web
- "ALLOW-FROM uri": el sitio web puede ser cargado en un marco o en un iframe únicamente desde el URI especificado
Puede definir este header añadiendo las siguientes líneas a su archivo .htaccess:
Header set X-Frame-Options "DENY"
o utilizando la función header() de PHP, ya que se ejecuta en FPM, de la misma manera que en la Inhabilitación del HSTS por ejemplo:
header('X-Frame-Options: DENY');
Sustitúyase "DENY" por el valor deseado para este header.