Preguntas Frecuentes

Cabecera de seguridad X-Frame-Options

La cabecera como X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe. De esta forma se pueden prevenir ataques de clickjacking sobre tu web.

Por ejemplo, si la web https://atlanticadigital.net contiene la cabecera X-FRAME-OPTIONS con el valor Allow-From https://www.facebook.com, entonces la web https://atlanticadigital.net solo podrá ser “enmarcada” desde el dominio www.facebook.com.

Otra opción sería denegar siempre el enmarcado (DENY), o decirle que solo pueda ser enmarcada desde el mismo origen (SAME-ORIGIN).

Estos son los valores que acepta:

    • DENY

La página no podrá ser mostrada en un frame/iframe.

    • SAMEORIGIN

Solo podrá ser mostrada en un frame/iframe desde su propio dominio.

    • ALLOW-FROM uri

Solo podrá ser mostrada en un frame/iframe desde las url’s indicadas.

Si utilizamos Wordpress como CMS la mejor forma de añadir esta cabecera sería añadiendo unas líneas de código al archivos functions.php del tema de WordPress que estemos usando.

Este archivo se encuentra en la ruta wp-content/themes/NOMBRE_TEMA, en donde NOMBRE_TEMA es el nombre del tema que tenemos activado.

En primer lugar, haremos una copia de seguridad del archivo functions.php. Después lo editamos y añadimos el siguiente código al final del mismo:

add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: SAMEORIGIN' );
}

 

Existen otras maneras de poner añadir esta cabecera . Si tenemos Apache como servidor web pordemos usar el fichero .htaccess, agregando el código que se indica a continuación:

Header always append X-Frame-Options SAMEORIGIN

 

En caso de usar Nginx, habría que introducir el siguiente código en el fichero de configuración de Nginx:

add_header X-Frame-Options SAMEORIGIN;

 

Puede encontrar más información técnico en Mozilla Developer Network.

Si queremos añadir otras cabeceras de seguridad a partir de cambios en el archivo functions.php, podemos hacerlo usando una única función, en lugar de añadir cada cabecera en una función distinta, aunque el funcionamiento sea similar.

En el siguiente código de ejemplo, que habría que colocar al final del archivo functions.php, se añaden las cabeceras X-Content-Type-Options, X-Frame-Options y X-XSS-Protection:

add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}

En el caso de que querramos agregar las cabeceras en el archivo .htaccess las lineas a agregar quedarian asi:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header set X-Frame-Options SAMEORIGIN
  • 0 Usuarios han encontrado esta información útil
¿Fue útil la respuesta?

Artículos Relacionados

Actualizacion de Prestashop

Actualizar Prestashop Para realizar la actualización de Prestashop a nueva versión se realizarán...

Virus en la web. Auxilio!!! Que son y como los eliminamos

Ultimamente, se incrementaron notablemente los casos de sitios web que son infectados por virus o...

¿Como puedo administrar el dominio?

Para todo lo referente a la administración de su dominio, ud deberá utilizar el panel de control...

¿Que es un subdominio ?

Los subdominios son extensiones que podemos utilizar con nuestro dominio, por ejemplo, supongamos...

¿Como publicar mi sitio web?

Para subir el contenido de su sitio web al servidor puede utilizar cualquier cliente FTP como son...