SEOMaster
X-Frame-Options
Ochrona przed osadzeniem strony w ramce.
Co to jest X-Frame-Options?
X-Frame-Options mówi przeglądarce, czy Twoją stronę wolno osadzić w ramce (iframe) na innej witrynie. Wartość DENY lub SAMEORIGIN blokuje obce osadzenie.
Chroni to przed clickjackingiem — atakiem, w którym napastnik nakłada przezroczystą ramkę z Twoją stroną na swoją i podstępnie zbiera kliknięcia (np. „polub”, „zapłać”). Nowocześniejszym odpowiednikiem jest dyrektywa frame-ancestors w CSP.
Dlaczego to ważne dla SEO
Bez tej ochrony Twój panel logowania czy przyciski akcji mogą zostać użyte w cudzym, oszukańczym interfejsie. To prosta, jednowierszowa ochrona o dużym znaczeniu.
Jak to sprawdzić
Sprawdź nagłówek X-Frame-Options w odpowiedzi serwera; docelowo uzupełnij go regułą frame-ancestors w CSP. SEOMaster wykrywa oba.
Częste błędy
- Brak nagłówka na stronach logowania i płatności
- Przestarzała wartość ALLOW-FROM zamiast frame-ancestors
- DENY mimo realnej potrzeby osadzania we własnej domenie
Przykład
X-Frame-Options: SAMEORIGIN (w CSP) frame-ancestors 'self'