Permitir iframes de tu sitio en nginx X-Frame-Options

Permitir iframes de tu sitio en nginx X-Frame-Options

He creado una especie de widgets para mi sitio y que no quiero que los anden usando en otros lados, además de ser un problema de seguridad... así que he puesto la restricción para que sólo se pueda visualizar si viene de mi sitio o de una lista de sitios. Esto se puede hacer en cualquier servidor web o inclusive desde el lenguaje de programación en el servidor que se esté utilizando. Si queremos que sólo se muestren los iframe en el mismo sitio donde se sirven, basta con añadir esta línea

add_header X-Frame-Options "SAMEORIGIN";

Si por el contrario tenemos una lista de dominios a permitir, entonces sería esta la configuración:

add_header X-Frame-Options "ALLOW-FROM dominio1"
add_header X-Frame-Options "ALLOW-FROM dominio2"

Eso es todo, con ello se reducen algunos problemas de seguridad y tu iframe se podría mostrar en los dominios que ahí le indicas. No es algo infalible, pero ayuda. actualización 13 de septiembre de 2019 Parece que ya no es válida la opción X-Frame-Options, ahora se utiliza:

add_header Content-Security-Policy "frame-ancestors 'self' *.elsiglodetorreon.com.mx *.tar.mx";

... por ejemplo, para permitir desde nuestros dominios que queramos incluir.

+ fotos / videos

Almacenado en nginx, Utils, Desarrollo Web

por Jorge Martínez Mauricio :)

blog / fotos / archivo

Permitir iframes de tu sitio en nginx X-Frame-Options

tar.mx es un blog sobre fotografía, tecnología y otras chunches

modificado viernes 16 de julio de 2021, 13:47

cuentame