Ce este X-Frame-Options?
Previne incadrarea site-ului in iframe-uri straine
Definiție X-Frame-Options
X-Frame-Options este un antet de securitate care controleaza daca site-ul tau poate fi afisat in interiorul altui site (intr-un iframe). Fara el, un atacator ar putea incadra site-ul tau in pagina sa si pacali utilizatorii sa faca click pe butoane fara sa stie (atac numit "clickjacking").
De ce contează X-Frame-Options
Atacurile de tip clickjacking suprapun site-ul tau intr-un iframe invizibil peste un site malitios, pacalind utilizatorul sa faca click pe butoane ascunse. Bancile si platformele de plata au fost tinte frecvente ale acestui atac, care poate autoriza transferuri sau schimba setari de securitate fara stirea victimei.
Cum verifici X-Frame-Options
Analiza SoftAudit citeste antetul X-Frame-Options din raspunsul HTTP si verifica daca valoarea este DENY sau SAMEORIGIN. Totodata, verifica si directiva frame-ancestors din CSP, care este succesorul modern al acestui antet.
Verifică securitatea site-ului →Greșeli frecvente
Setarea valorii ALLOW-FROM nu mai este suportata de Chrome si Firefox, deci site-ul ramane neprotejat desi administratorul crede ca a configurat corect restrictia. Unii administratori seteaza antetul doar pe pagina principala, lasand paginile de autentificare vulnerabile.
Bune practici
Configureaza X-Frame-Options pe DENY daca site-ul nu trebuie incadrat in iframe-uri, sau SAMEORIGIN daca ai nevoie de iframe-uri interne. Completeaza protectia cu directiva CSP frame-ancestors care ofera control mai granular si este suportata de toate browserele moderne.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica x-frame-options pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este X-Frame-Options?
X-Frame-Options este un antet de securitate care controleaza daca site-ul tau poate fi afisat in interiorul altui site (intr-un iframe). Fara el, un atacator ar putea incadra site-ul tau in pagina sa si pacali utilizatorii sa faca click pe butoane fara sa stie (atac numit "clickjacking").
De ce este important X-Frame-Options pentru un website?
Atacurile de tip clickjacking suprapun site-ul tau intr-un iframe invizibil peste un site malitios, pacalind utilizatorul sa faca click pe butoane ascunse. Bancile si platformele de plata au fost tinte frecvente ale acestui atac, care poate autoriza transferuri sau schimba setari de securitate fara stirea victimei.