Es posible que desee permitir que su sitio se inserte en un iframe en un caso diferente (por ejemplo, para crear una página de plantilla con sus sitios). Permitir que un sitio se cargue dentro de un iframe en otro sitio puede permitir que actores maliciosos usen su sitio y su marca para engañar a los visitantes para que hagan clic en el enlace incorrecto o envíen datos a fuentes externas. Solo habilite esta opción si desea que el sitio se cargue en un iframe.
Advertencia
De forma predeterminada, la capacidad de cargar su sitio en un iframe en otro sitio está deshabilitada. Recomendamos no cambiar el valor predeterminado a menos que sea obligatorio para su sitio específico. Los sitios creados antes del 5 de abril de 2020 pueden mostrar en un iframe.
Para habilitar la capacidad de cargar el sitio en un iframe:
-
En el panel izquierdo, haga clic en Configuración y, a continuación, haga clic en SSL del sitio.
-
Haga clic en el botón de alternancia Permitir que el sitio se cargue en un iframe .
Se ha implementado la siguiente configuración de seguridad para informar a los navegadores que el sitio no debe cargarse dentro de un iframe:
-
x-frame-opciones: SAMEORIGIN
-
content-security-policy: frame-ancestors 'self'
La configuración x-frame-options es la versión original, mientras que content-security-policy es una configuración más nueva que aún no es totalmente compatible con todos los navegadores. Estos le indican a los navegadores que el sitio no debe cargar dentro de un iframe.
Esta configuración está predeterminada para implementar las mejores prácticas de seguridad directamente. Permitir que los sitios no se carguen dentro de un iframe en forma predeterminada es un pequeño paso para evitar que los sitios se usen para clickJacking. El clickJacking se produce cuando un usuario malintencionado carga el sitio dentro de un marco y usa el diseño del sitio para hacer que los usuarios envíen información personal que puede interceptar o recopilar.