X-Frame-Options

Saltar a:

Sintaxis
Ejemplos
Especificaciones
Compatibilidad con navegadores
Vea también

Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

El encabezado de respuesta HTTP X-Frame-Options puede ser usado para indicar si debería permitírsele a un navegador renderizar una página en un <frame>, <iframe> o <object> . Las páginas webs pueden usarlo para evitar ataques de clickjacking , asegurándose que su contenido no es embebido en otros sitios.

La seguridad añadida sólo es proporcionada si el usuario que está accediendo al documento está utilizando un navegador que soporte X-Frame-Options.

Tipo de encabezado	Response header
Nombre de encabezado prohibido	no

Sintaxis

Existen tres posibles directivas para X-Frame-Options:

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/

Directivas

Si especifica DENY, fallarán no sólo los intentos de cargar la página en un marco desde otros sitios, sino que fallarán cuando sea cargada desde el mismo sitio. Por otro lado, si especifica SAMEORIGIN, puede usar la página en un marco mientras el sitio que la incluya sea el mismo que la sirve.

DENY: La página no puede ser mostrada en un marco, independiente del sitio que esté intentándolo.
SAMEORIGIN: La página sólo puede ser mostrada en un marco del mismo origen que dicha página.
ALLOW-FROM uri: La página sólo puede ser mostrada en un marco del origen especificado.Tenga en cuenta que en Firefox esto todavía sufre del mismo problema que SAMEORIGIN — no verifica los antecesores del marco para ver si están en el mismo origen.

Ejemplos

Nota: ¡Configurar el tag meta es inútil! Por ejemplo, <meta http-equiv="X-Frame-Options" content="deny"> no tiene efecto. ¡No lo use! Sólo funcionará configurando el encabezado HTTP X-Frame-Options como en los ejemplos anteriores.

Configurando Apache

Agregue lo siguiente a la configuración de su sitio para que Apache envíe el encabezado X-Frame-Options para todas las páginas:

Header always append X-Frame-Options SAMEORIGIN

Para que Apache envíe X-Frame-Options deny , agregue lo siguiente a la configuración de su sitio:

Header set X-Frame-Options DENY

Para que Apache envíe el encabezado X-Frame-Options para permitir (ALLOW-FROM) un host en específico, agregue esto a la configuración de su sitio:

Header set X-Frame-Options "ALLOW-FROM https://example.com/"

Configurando nginx

Para configurar nginx a que envíe el encabezado X-Frame-Options , agregue esto a la configuración, ya sea http, server o location:

add_header X-Frame-Options SAMEORIGIN;

Configurando IIS

Para hacer que IIS envíe el encabezado X-Frame-Options, agrege esto al archivo Web.config de su sitio:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

Configurando HAProxy

Para hacer que HAProxy envíe el encabezado X-Frame-Options, agrege lo siguiente a su configuración front-end, listen, o backend:

rspadd X-Frame-Options:\ SAMEORIGIN

Especificaciones

Especificación	Título
RFC 7034	HTTP Header Field X-Frame-Options

Compatibilidad con navegadores

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Edge Mobile	Firefox for Android	Opera for Android	iOS Safari	Samsung Internet
Soporte básico	Chrome Soporte completo 4	Edge Soporte completo Si	Firefox Soporte completo 3.6.9	IE Soporte completo 8	Opera Soporte completo 10.5	Safari Soporte completo 4	WebView Android Soporte completo Si	Chrome Android Soporte completo Si	Edge Mobile Soporte completo Si	Firefox Android Soporte completo Si	Opera Android Soporte completo Si	Safari iOS Soporte completo Si	Samsung Internet Android Soporte completo Si
ALLOW-FROM	Chrome Sin soporte No	Edge Soporte completo Si	Firefox Soporte completo 18	IE Soporte completo 8	Opera ?	Safari Sin soporte No	WebView Android ?	Chrome Android ?	Edge Mobile ?	Firefox Android ?	Opera Android ?	Safari iOS Sin soporte No	Samsung Internet Android Sin soporte No
SAMEORIGIN	Chrome Soporte completo Si Notas Soporte completo Si Notas Notas Starting in Chrome 61, this applies to all of a frame's ancestors.	Edge ?	Firefox Soporte completo Si Notas Soporte completo Si Notas Notas Starting in Firefox 59, this applies to all of a frame's ancestors.	IE Soporte completo 8	Opera Soporte completo Si Notas Soporte completo Si Notas Notas Starting in Opera 48, this applies to all of a frame's ancestors.	Safari Soporte completo Si	WebView Android Soporte completo Si Notas Soporte completo Si Notas Notas Starting in Chrome 61, this applies to all of a frame's ancestors.	Chrome Android Soporte completo Si Notas Soporte completo Si Notas Notas Starting in Chrome 61, this applies to all of a frame's ancestors.	Edge Mobile ?	Firefox Android ?	Opera Android Soporte completo Si Notas Soporte completo Si Notas Notas Starting in Opera 48, this applies to all of a frame's ancestors.	Safari iOS ?	Samsung Internet Android Soporte completo Si

Leyenda

Soporte completo: Soporte completo
Sin soporte: Sin soporte
Compatibility unknown: Compatibility unknown
Ver notas de implementación.: Ver notas de implementación.

Corrección de traducción por Ervin A. Santos R.

el 21-Oct-2018

Vea también

Etiquetas y colaboradores del documento

Colaboradores en esta página: ervin_santos, Luiggy, setlord

Última actualización por: ervin_santos, 21 oct. 2018 21:09:57

Temas relacionados