Abbiamo impostato l'opzione X-Frame-Options nell'intestazione come ALLOW-FROM stessa origine ma è necessario aprire la pagina sotto da qualche sito web di terze parti. Vedi un problema di sicurezza qui?
HTTP::header replace X-Frame-Options "SAMEORIGIN"
Esiste una direttiva ALLOW-FROM per consentire la whitelist dei domini, tuttavia è supportato solo da determinati browser .
Rimuovere X-FRAME-OPTIONS (oi nuovi antenati frame equivalenti CSP) potrebbe rendere il tuo sito vulnerabile a clickjacking o altri attacchi come Manipolazione della cronologia dei siti incrociati .
Il clickjacking è solo veramente un rischio se c'è qualcosa da fare clic. Se il tuo sito ha altri input che l'utente deve completare prima che qualsiasi clic venga registrato, la vulnerabilità non sarebbe sfruttabile. Questo, tuttavia, è difficile da determinare senza rivedere tutte le funzionalità del sito. E poi qualsiasi ulteriore aggiornamento al tuo sito potrebbe significare che questo diventa sfruttabile senza che tu lo sappia. Spesso è più sicuro disabilitare il framing a meno che non ci sia sicuramente un requisito aziendale per questo.
Da: L'intestazione della risposta X-Frame-Options :
SAMEORIGIN
The page can only be displayed in a frame on the same origin as the page itself.
Lo sai già, ma te lo dico per farti sapere che c'è stata, AFAIK, qualsiasi vulnerabilità intorno a questo. Facendo ciò, hai aggiunto piuttosto un livello di sicurezza alla tua applicazione web impedendo clickjacking ma questo potrebbe non essere sufficiente: X-Frame-Options vale meno di quanto pensi .
Leggi altre domande sui tag clickjacking iframe