Define o conteúdo do campo
X-Frame-Options (XFO) no header do protocolo HTTP.
Valores válidos
| Valor | Descrição |
|---|---|
DENY | A página não pode ser exibida em um frame, independentemente do site tentando fazê-lo. |
SAMEORIGIN (padrão) | A página somente pode ser exibida em um frame da mesma origem da própria página. |
ALLOW-FROM <uri> | A página somente pode ser exibida em um frame da origem especificada. |
Observações
- O campo
X-Frame-Options (XFO)do header de resposta do protocoloHTTP, definido na RFC7034 - HTTP Header Field X-Frame-Options, pode ser usado para indicar se deveria ou não ser permitido ao browser exibir uma página em um<frame>,<iframe>ou<object>. Sites podem utilizá-lo para evitar ataques do tipoclickjacking, por garantir que seus conteúdos não sejam inseridos em outros sites; - O campo
X-Frame-Optionsserá gerado no formato definido na RFC7034 - HTTP Header Field X-Frame-Options; - Esta chave está relacionada à chave XFrameOptions na seção
BALANCE_HTTPdo arquivo de configuração do servidorBroker; - Caso o servidor
Brokeresteja em uso, a chave equivalente a esta, caso exista na seçãoBALANCE_HTTPdo arquivo de configuração do servidorBroker,também deverá ser configurada, idealmente ambas com valores iguais; - Caso não configurada, assume o valor padrão da diretiva
SAMEORIGIN; - Caso configurada com a diretiva
ALLOW-FROM, a<uri>deve ser um endereço validado previamente pelo usuário.
Formato do campo X-Frame-Options no header do protocolo HTTP
Conforme definido na RFC7034 - HTTP Header Field X-Frame-Options, o campo X-Frame-Options será gerado no seguinte formato:
X-Frame-Options: < DENY | SAMEORIGIN | ALLOW-FROM <uri> >
onde:
uri: endereço no formato<protocolo>://<host name/endereço IP>:<porta>.
Exemplo
[HTTP] ... ; XFO XFrameOptions = SAMEORIGIN ...
Abrangência
Disponível em builds à partir da versão 13.2.3.9.
Veja também
RFC7034 - HTTP Header Field X-Frame-Options
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas