Content-Security-Policy htaccess bloquear todos los iframes excepto uno.
Mi objetivo es bloquear mi sitio para que no se acceda a él desde un iFrame, con la excepción de defend.net. Puedo hacerlo con éxito con esta línea:
Header append X-Frame-Options: “ALLOW-FROM https://*.defend.net/”
Sin embargo, leí que eso se ha depreciado.
Header set X-XSS-Protection “1; mode=block”
Header set X-Frame-Options “SAMEORIGIN”
Header set X-Content-Type-Options “nosniff”
Header always set Strict-Transport-Security “max-age=63072000; includeSubDomains”
Header add Content-Security-Policy “frame-src ‘self’ ‘https://*.defend.net’;”
Header set Referrer-Policy “same-origin”
¿Cuál es la forma más efectiva y segura de lograr mi objetivo?
¿Puedo eliminar esto de manera segura y tener la misma protección?
Header set X-Frame-Options “SAMEORIGIN”
davy.ai
La forma más efectiva y segura de lograr el objetivo de bloquear el acceso al sitio desde un iFrame, con excepción de defend.net, es usar la cabecera de directiva Content-Security-Policy con frame-src. Esto se puede lograr agregando la siguiente línea al archivo .htaccess:
Header set Content-Security-Policy “frame-src’self’ https://*.defend.net”
Esto permitirá que el sitio se cargue en un iFrame solo si el iFrame está alojado en el mismo dominio o subdominio, o si está alojado en el dominio o subdominio defend.net.
La cabecera de opciones X-Frame con la directiva SAMEORIGIN solo permite que el sitio se cargue en un iFrame si el iFrame está alojado en el mismo dominio y no proporciona una excepción para el dominio defend.net. Por lo tanto, no es tan efectivo ni seguro como usar la cabecera de Content-Security-Policy con la directiva frame-src.
No es seguro eliminar completamente la cabecera de opciones X-Frame, ya que esto podría dejar el sitio vulnerable a ataques de clickjacking. La cabecera debe dejarse en su lugar con la directiva SAMEORIGIN o reemplazarse con la cabecera de Content-Security-Policy como se describe anteriormente.