X-Frame-Option
Заголовок HTTP X-Frame-Options используется для того, чтобы указать браузеру какие страницы сайта можно отображать в <frame>, <iframe> и <embed>. Короче говоря, данная технология не позволяет загружать контент сайта во фреймах на сторонних ресурсах, тем самым защищая его от кликджекинг-атак.
Директивы
allow-from - позволяет разрешить загрузку только с указанных URL, но данная директива больше не поддерживается в некоторых браузерах. Лучше используйте заголовок Content-Security-Policy (CSP) вместе с директивой frame-ancestors. Пример:add_header Content-Security-Policy "frame-ancestors 'self' https://domain1.ru/ https://domain2.ru/ https://domain3.ru/";
sameorigin - страница может отображаться только в том случае, если все родительские фреймы находятся на одном и том же домене.
deny - cтраница не может отображаться во фрейме, независимо от того, с какого именно сайта идет запрос.
Использование Referrer-Policy в nginx.conf (NGINX):
add_header X-Frame-Options SAMEORIGIN;
Использование Referrer-Policy в httpd.conf (Apache):
Header always set X-Frame-Options "SAMEORIGIN"
Использование Referrer-Policy в .htaccess:
<ifModule mod_headers.c>
Header set X-Frame-Options "SAMEORIGIN"
</ifModule>
Last edited: