Salt la conținut
Securitate Web

Ce este X-Frame-Options?

Previne incadrarea site-ului in iframe-uri straine

Definiție X-Frame-Options

X-Frame-Options este un antet de securitate care controleaza daca site-ul tau poate fi afisat in interiorul altui site (intr-un iframe). Fara el, un atacator ar putea incadra site-ul tau in pagina sa si pacali utilizatorii sa faca click pe butoane fara sa stie (atac numit "clickjacking").

De ce contează X-Frame-Options

Atacurile de tip clickjacking suprapun site-ul tau intr-un iframe invizibil peste un site malitios, pacalind utilizatorul sa faca click pe butoane ascunse. Bancile si platformele de plata au fost tinte frecvente ale acestui atac, care poate autoriza transferuri sau schimba setari de securitate fara stirea victimei.

Cum verifici X-Frame-Options

Analiza SoftAudit citeste antetul X-Frame-Options din raspunsul HTTP si verifica daca valoarea este DENY sau SAMEORIGIN. Totodata, verifica si directiva frame-ancestors din CSP, care este succesorul modern al acestui antet.

Verifică securitatea site-ului →

Greșeli frecvente

Setarea valorii ALLOW-FROM nu mai este suportata de Chrome si Firefox, deci site-ul ramane neprotejat desi administratorul crede ca a configurat corect restrictia. Unii administratori seteaza antetul doar pe pagina principala, lasand paginile de autentificare vulnerabile.

Bune practici

Configureaza X-Frame-Options pe DENY daca site-ul nu trebuie incadrat in iframe-uri, sau SAMEORIGIN daca ai nevoie de iframe-uri interne. Completeaza protectia cu directiva CSP frame-ancestors care ofera control mai granular si este suportata de toate browserele moderne.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica x-frame-options pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este X-Frame-Options?

X-Frame-Options este un antet de securitate care controleaza daca site-ul tau poate fi afisat in interiorul altui site (intr-un iframe). Fara el, un atacator ar putea incadra site-ul tau in pagina sa si pacali utilizatorii sa faca click pe butoane fara sa stie (atac numit "clickjacking").

De ce este important X-Frame-Options pentru un website?

Atacurile de tip clickjacking suprapun site-ul tau intr-un iframe invizibil peste un site malitios, pacalind utilizatorul sa faca click pe butoane ascunse. Bancile si platformele de plata au fost tinte frecvente ale acestui atac, care poate autoriza transferuri sau schimba setari de securitate fara stirea victimei.

Termeni asociați

Înapoi la glosarul complet