Фрейм опции
Добавленная безопасность обеспечивается только тогда, когда пользователь попытается получить доступ документ с помощью браузера с поддержкой X-Frame-Options.
X-Frame-Options HTTP заголовок ответа можно использовать для обозначения следует ли браузеру допускать отображение страницы в object, iframe или frame.
Сайты могут использовать эту функцию, во избежание "clickjacking" атак, гарантируя, что их содержание не вкладывается на других сайтах.
Сайты могут использовать эту функцию, во избежание "clickjacking" атак, гарантируя, что их содержание не вкладывается на других сайтах.
Синтаксис и Директивы
Существуют три возможных директивы для X-Frame-Options
DENY
Если указать DENY, не только попытки загрузить страницу во фрейме с других сайтов, но и сделать это с того же сайта потерпит неудачу.
SAMEORIGIN
Есл указать SAMEORIGIN, можно по-прежнему использовать страницу во фрейме того же сайта, который обслуживает страницу.
ALLOW-FROM uri
DENY
X-Frame-Options: DENY
Страница не может быть отображена во фрейме, независимо от сайта, пытающегося это сделать.
Если указать DENY, не только попытки загрузить страницу во фрейме с других сайтов, но и сделать это с того же сайта потерпит неудачу.
SAMEORIGIN
X-Frame-Options: SAMEORIGIN
Страница может отображаться только во фрейме в том же домене сайта, что и сама страница.
Есл указать SAMEORIGIN, можно по-прежнему использовать страницу во фрейме того же сайта, который обслуживает страницу.
ALLOW-FROM uri
X-Frame-Options: ALLOW-FROM https://example.com/
Страница может отображаться только во фрейме на указанном домене.
Сайт во фрейме
Проверить позволяет ли Веб-сайт отображать своё содержимое во фрейме
или оно должно отображаться в отдельном окне.
Установка мета-тег бесполезно и не имеет никакого эффекта. Не используйте его! Только через заголовок HTTP будет работать.