He creado una especie de widgets para mi sitio y que no quiero que los anden usando en otros lados, además de ser un problema de seguridad... así que he puesto la restricción para que sólo se pueda visualizar si viene de mi sitio o de una lista de sitios. Esto se puede hacer en cualquier servidor web o inclusive desde el lenguaje de programación en el servidor que se esté utilizando. Si queremos que sólo se muestren los iframe en el mismo sitio donde se sirven, basta con añadir esta línea
add_header X-Frame-Options "SAMEORIGIN";
Si por el contrario tenemos una lista de dominios a permitir, entonces sería esta la configuración:
add_header X-Frame-Options "ALLOW-FROM dominio1" add_header X-Frame-Options "ALLOW-FROM dominio2"
Eso es todo, con ello se reducen algunos problemas de seguridad y tu iframe se podría mostrar en los dominios que ahí le indicas. No es algo infalible, pero ayuda. actualización 13 de septiembre de 2019 Parece que ya no es válida la opción X-Frame-Options, ahora se utiliza:
add_header Content-Security-Policy "frame-ancestors 'self' *.elsiglodetorreon.com.mx *.tar.mx";
... por ejemplo, para permitir desde nuestros dominios que queramos incluir.
https://panchito-kardashian.tar.mx/media/2019/09/nginx_iframe.png