Esiste una direttiva ALLOW-FROM
per consentire la whitelist dei domini, tuttavia è supportato solo da determinati browser .
Rimuovere X-FRAME-OPTIONS
(oi nuovi antenati frame equivalenti CSP) potrebbe rendere il tuo sito vulnerabile a clickjacking o altri attacchi come Manipolazione della cronologia dei siti incrociati .
Il clickjacking è solo veramente un rischio se c'è qualcosa da fare clic. Se il tuo sito ha altri input che l'utente deve completare prima che qualsiasi clic venga registrato, la vulnerabilità non sarebbe sfruttabile. Questo, tuttavia, è difficile da determinare senza rivedere tutte le funzionalità del sito. E poi qualsiasi ulteriore aggiornamento al tuo sito potrebbe significare che questo diventa sfruttabile senza che tu lo sappia. Spesso è più sicuro disabilitare il framing a meno che non ci sia sicuramente un requisito aziendale per questo.