Tùy chọn X-Frame-Options để thông báo cho trình duyệt cho phép website của bạn có được nhúng vào bên trong các thẻ frame hoặc iframe hay không. Tính năng này có thể phòng chống các cuộc tấn công clickjacking vốn rất phổ biến hiện nay.
Chú ý: Bạn thiết lập theo cách này sẽ không có hiệu quả:
<meta http-equiv="X-Frame-Options" content="deny">
Phải thiết lập theo các cách dưới đây tùy vào dịch vụ máy chủ.
Configuring Apache
Để cấu hình Apache các bạn thêm đoạn code sau vào file config:
- 1. cho phép website được nhúng thẻ thẻ iframe hoặc frame
Header always append X-Frame-Options SAMEORIGIN
2. từ chối tất cả:
Header set X-Frame-Options DENY
Config Nginx
add_header X-Frame-Options SAMEORIGIN;
IIS
thêm vào file web.config:
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
HPAProxy
rspadd X-Frame-Options:\ SAMEORIGIN
Mình lập blog này với mục đích lưu lại + chia sẻ các các kiến thức mình đã biết hoặc đang tìm hiểu. Cơ bản giúp ích cho mình 🙂 Nhưng hy vọng sẽ mang lại sự khởi đầu thuận lợi cho người mới bắt đầu!