Permitir iframes de tu sitio en nginx X-Frame-Options

He creado una especie de widgets para mi sitio y que no quiero que los anden usando en otros lados, además de ser un problema de seguridad... así que he puesto la restricción para que sólo se pueda visualizar si viene de mi sitio o de una lista de sitios.

Esto se puede hacer en cualquier servidor web o inclusive desde el lenguaje de programación en el servidor que se esté utilizando. Si queremos que sólo se muestren los iframe en el mismo sitio donde se sirven, basta con añadir esta línea

add_header X-Frame-Options "SAMEORIGIN";

Si por el contrario tenemos una lista de dominios a permitir, entonces sería esta la configuración:

add_header X-Frame-Options "ALLOW-FROM dominio1"
add_header X-Frame-Options "ALLOW-FROM dominio2"

Eso es todo, con ello se reducen algunos problemas de seguridad y tu iframe se podría mostrar en los dominios que ahí le indicas. No es algo infalible, pero ayuda.

actualización 13 de septiembre de 2019

Parece que ya no es válida la opción X-Frame-Options, ahora se utiliza:

add_header Content-Security-Policy "frame-ancestors 'self' *.elsiglodetorreon.com.mx *.tar.mx";

... por ejemplo, para permitir desde nuestros dominios que queramos incluir.

+ fotos

Almacenado en nginx, Utils

por Jorge Martínez Mauricio :)

¿Algo que comentar?


Suscríbete por correo electrónico, recibirás los nuevos escritos antes que nadie y es gratis 😊

Relacionadas

    blog / fotos / archivo

    Fotografías de

    Permitir iframes de tu sitio en nginx X-Frame-Options

    tar.mx es un blog sobre fotografía, tecnología y otras chunches