O que é: XFrame Options

Escrito por em 08/07/2023
Junte-se a mais de 1000 pessoas

Entre para nossa lista e receba conteúdos exclusivos e com prioridade

O que é XFrame Options?

O XFrame Options é uma diretiva de segurança que pode ser configurada em um servidor web para controlar como as páginas da web podem ser incorporadas em outros sites. Essa diretiva é uma medida de proteção contra ataques de clickjacking, que ocorrem quando um invasor engana um usuário para clicar em um elemento oculto em uma página da web, redirecionando-o para um site malicioso ou executando ações indesejadas sem o conhecimento do usuário.

Como funciona o XFrame Options?

Quando um navegador solicita uma página da web, o servidor envia uma resposta que inclui cabeçalhos HTTP. Um desses cabeçalhos é o XFrame Options, que informa ao navegador como a página pode ser incorporada em outros sites. Existem três opções principais para essa diretiva:

DENY

A opção DENY indica que a página não pode ser incorporada em nenhum outro site. Isso significa que, se alguém tentar incorporar a página em um iframe, ela será bloqueada e não será exibida. Essa é a opção mais restritiva e recomendada para a maioria dos casos, pois impede completamente o clickjacking.

SAMEORIGIN

A opção SAMEORIGIN permite que a página seja incorporada apenas em outros sites que estejam no mesmo domínio. Isso significa que se alguém tentar incorporar a página em um iframe de um site diferente, ela será bloqueada. Essa opção é útil quando você deseja permitir a incorporação da página em outros sites que você controla, mas não em sites externos.

ALLOW-FROM uri

A opção ALLOW-FROM permite que a página seja incorporada apenas em um site específico, definido pela URI fornecida. Isso significa que se alguém tentar incorporar a página em um iframe de um site diferente do especificado, ela será bloqueada. Essa opção oferece um controle mais granular sobre quais sites podem incorporar a página, mas não é suportada por todos os navegadores.

Como configurar o XFrame Options?

A configuração do XFrame Options varia dependendo do servidor web que você está usando. Abaixo estão alguns exemplos de como configurar essa diretiva em alguns dos servidores web mais populares:

Apache

No Apache, você pode configurar o XFrame Options adicionando a seguinte linha ao arquivo .htaccess:

Header always set X-Frame-Options DENY

Isso definirá a opção DENY para todas as páginas servidas pelo Apache.

Nginx

No Nginx, você pode configurar o XFrame Options adicionando a seguinte linha ao arquivo de configuração do servidor:

add_header X-Frame-Options DENY;

Isso definirá a opção DENY para todas as páginas servidas pelo Nginx.

IIS

No IIS, você pode configurar o XFrame Options adicionando a seguinte linha ao arquivo web.config:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />


</customHeaders>
</httpProtocol>
</system.webServer>

Isso definirá a opção DENY para todas as páginas servidas pelo IIS.

Conclusão

O XFrame Options é uma diretiva de segurança importante que ajuda a proteger os usuários contra ataques de clickjacking. Ao configurar corretamente essa diretiva em seu servidor web, você pode controlar como suas páginas da web são incorporadas em outros sites, reduzindo o risco de exploração de vulnerabilidades. Certifique-se de escolher a opção adequada para suas necessidades e seguir as instruções de configuração específicas do seu servidor web.

Clique aqui para testar o AJAX