Es posible que desee permitir que su sitio se incruste en un iframe en otro caso (por ejemplo, para crear una página de plantilla con sus sitios). Si permite que el sitio se cargue dentro de un iframe en otro sitio, actores maliciosos pueden usar su marca y su sitio web para engañar a los que visitan el sitio para que hagan clic en el enlace incorrecto o envíen datos a fuentes externas. Solo habilite esta opción si desea que el sitio se cargue en un iframe.
Para habilitar la capacidad de cargar el sitio en un iframe:
- En el panel izquierdo, haga clic en Configuración y luego haga clic en SSL del sitio.
- Haga clic en el control deslizante Permitir que el sitio se cargue en un iframe.
Configuración de seguridad
Se ha implementado la siguiente configuración de seguridad para informar a los navegadores que el sitio no debe cargarse dentro de un iframe:
- x-frame-options: SAMEORIGIN
- content-security-policy: frame-ancestors 'self'
La configuración de x-frame-options es la versión original, mientras que content-security-policy es una configuración más nueva que aún no es totalmente compatible con todos los navegadores. Esta configuración indica a los navegadores que el sitio no debe cargarse dentro de un iframe.
Esta configuración está predeterminada para implementar las mejores prácticas de seguridad directamente. Permitir que los sitios no se carguen dentro de un iframe en forma predeterminada es un pequeño paso para evitar que los sitios se usen para clickJacking. El clickJacking se produce cuando un usuario malintencionado carga el sitio dentro de un marco y usa el diseño del sitio para hacer que los usuarios envíen información personal que puede interceptar o recopilar.