Saltar al contenido

Cómo configurar X-Frame-Options Allow-From en nginx correctamente

Ya no necesitas investigar más por todo internet ya que has llegado al sitio exacto, contamos con la respuesta que quieres sin complicaciones.

Solución:

en Chrome y Safari necesitas usar Política de seguridad de contenido

Content-Security-Policy: frame-ancestors domain.com

Puedes consultar más detalles en este sitio:

https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives

Algunos navegadores antiguos no admiten la política de seguridad de contenido, por lo que la sintaxis correcta es

add_header X-Frame-Options "ALLOW-FROM domain.com";

y la nueva versión de los navegadores admiten la Política de seguridad de contenido

add_header Content-Security-Policy "frame-ancestors domain.com";

Debe usar ambos encabezados para garantizar la compatibilidad en todos los navegadores.

Para conocer más soporte del navegador para X-Frame-Options y Content Security Policy (los datos de soporte del navegador CSP están desactualizados según lo escrito el 19/12/2017. Actualmente, todos los navegadores principales son compatibles con CSP): https://www.owasp.org/index .php/Clickjacking_Defense_Cheat_Sheet

Reseñas y valoraciones del artículo

Si sostienes algún dilema y disposición de limar nuestro enunciado puedes escribir una anotación y con placer lo estudiaremos.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *