Фрейм

Фрейм опции

X-Frame-Options HTTP заголовок ответа можно использовать для обозначения следует ли браузеру допускать отображение страницы в object, iframe или frame.
Сайты могут использовать эту функцию, во избежание "clickjacking" атак, гарантируя, что их содержание не вкладывается на других сайтах.

Синтаксис и Директивы

Существуют три возможных директивы для X-Frame-Options

DENY

X-Frame-Options: DENY

Запретить отображать содержимое сайта во фрейме. Страница не может быть отображена во фрейме, независимо от сайта, пытающегося это сделать. Если указать DENY, не только попытки загрузить страницу во фрейме с других сайтов, но и сделать это с того же сайта потерпит неудачу.

SAMEORIGIN

X-Frame-Options: SAMEORIGIN

Страница может отображаться только во фрейме в том же домене сайта, что и сама страница. Если указать SAMEORIGIN, можно по-прежнему использовать страницу во фрейме того же сайта, который обслуживает страницу.

ALLOW-FROM uri

X-Frame-Options: ALLOW-FROM https://example.com/

Страница может отображаться только во фрейме на указанном домене сайта.

Добавленная безопасность обеспечивается только тогда, когда пользователь попытается получить доступ документ с помощью браузера с поддержкой X-Frame-Options.

Установка мета-тег бесполезно и не имеет никакого эффекта. Не используйте его! Только через заголовок HTTP будет работать.