Категория:
Поддержка и помощь , Веб-безопасность , Технические проблемы с веб-сайтами , Проблемы и ошибки
Дата:
06.07.2022
Хотя iframe в настоящее время больше не используются в качестве веб-ресурса , они по-прежнему используются в определенных типах атак.
С помощью iframe мы загружаем веб-сайт с другого веб-сайта в небольшое окно, которое обычно незаметно для конечного пользователя или посетителя, но которое может быть «дверью в ад», откуда может быть загружено вредоносное ПО или любой вредоносный скрипт.
В настоящее время большинство систем защиты от вредоносного ПО на уровне сервера обычно обнаруживают и блокируют iframe , когда они загружаются небезопасным способом . Например, в течение долгого времени (и даже сейчас) серверные WAF обнаруживали Thrive Leads и Thrive Architect (оба плагина WordPress) как вредоносные программы из-за способа их создания: использования бессмысленных iframe . С помощью
параметры x-frameзаголовка X-Frame-Options мы можем ограничить, из каких доменов или поддоменов мы можем загружать iframe нашего веб-сайта.
ПРИМЕЧАНИЕ. Не путайте. С помощью X-Frame-Options мы определяем, откуда база данных номеров whatsapp в коста-рике мы можем загрузить iframe С нашего веб-сайта, а не из каких доменов мы можем загрузить iframe на наш веб-сайт.
Это довольно мощная мера безопасности, но в то же время, если мы используем плагин или решение, требующее загрузки внешнего фрейма , мы должны настроить заголовок с помощью параметра SAMEORIGIN, чтобы избежать проблем. Хотя заголовок X-Frame-Options
может показаться беспорядочным, его довольно легко понять. Ниже я объясню, каковы его параметры. И здесь я оставляю вам его совместимость, так как не все браузеры обращают внимание на его параметры: Эта таблица совместимости взята из документации для разработчиков Mozilla: Заголовки/Параметры X-Frame
параметры x-frame
Указатель статей
Параметры X-Frame: DENY
Параметры X-Frame: SAMEORIGIN
Параметры X-Frame: ALLOW-FROM
Параметры X-Frame в WordPress
X-Frame-Options в WordPress с плагином
X-Frame-Options в WordPress без плагина
Получите наш контент на свою электронную почту!