Permitir iframes de tu sitio en nginx X-Frame-Options

He creado una especie de widgets para mi sitio y que no quiero que los anden usando en otros lados, además de ser un problema de seguridad... así que he puesto la restricción para que sólo se pueda visualizar si viene de mi sitio o de una lista de sitios.

Esto se puede hacer en cualquier servidor web o inclusive desde el lenguaje de programación en el servidor que se esté utilizando. Si queremos que sólo se muestren los iframe en el mismo sitio donde se sirven, basta con añadir esta línea

add_header X-Frame-Options "SAMEORIGIN";

Si por el contrario tenemos una lista de dominios a permitir, entonces sería esta la configuración:

add_header X-Frame-Options "ALLOW-FROM dominio1"
add_header X-Frame-Options "ALLOW-FROM dominio2"

Eso es todo, con ello se reducen algunos problemas de seguridad y tu iframe se podría mostrar en los dominios que ahí le indicas. No es algo infalible, pero ayuda.

actualización 13 de septiembre de 2019

Parece que ya no es válida la opción X-Frame-Options, ahora se utiliza:

add_header Content-Security-Policy "frame-ancestors 'self' *.elsiglodetorreon.com.mx *.tar.mx";

... por ejemplo, para permitir desde nuestros dominios que queramos incluir.

+ fotos

Permitir iframes de tu sitio en nginx X-Frame-Options
Permitir iframes de tu sitio en nginx X-Frame-Options

Almacenado en nginx, Utils

por Jorge Martínez Mauricio :)

Reacciones

síguenos en instagram / twitter

Relacionadas

    Suscríbete por correo electrónico, recibirás los nuevos escritos antes que nadie y es gratis 😊

    Populares estos días

      blog / fotos / archivo

      Permitir iframes de tu sitio en nginx X-Frame-Options

      tar.mx es un blog sobre fotografía, tecnología y otras chunches

      tar.mx logo

      última mod vie 11 de octubre de 2019, 11:41