Potresti prendere in considerazione di integrare il tuo sito in un elemento iframe con un contenitore diverso (per esempio, per creare una pagina di template con i tuoi siti). Consentire il caricamento di un sito all'interno di un iframe può far sì che soggetti malintenzionati utilizzino il tuo marchio e il sito per indurre i visitatori a cliccare su un collegamento sbagliato o inviare dati a fonti esterne. Abilita questa opzione soltanto se desideri caricare il sito all'interno di un iframe.
Per attivare l'opzione di caricamento del sito in un iframe:
- Nel pannello di sinistra, fai clic su Impostazioni e poi su SSL sito.
- Fai clic sul'interruttore Consenti il caricamento del sito in un iframe.
Impostazioni di sicurezza
Le seguenti impostazioni di sicurezza sono state implementate per informare i browser che il sito non deve essere caricato all'interno di un iframe:
- x-frame-options: SAMEORIGIN
- content-security-policy: frame-ancestors 'self'
L'impostazione x-frame-options rappresenta la versione originale, mentre content-security-policy è un'impostazione più recente non ancora totalmente supportata da tutti browser. Queste impostazioni riferiscono ai browser che il sito non deve essere caricato all'interno di un iframe.
Queste impostazioni vengono implementate per impostazione predefinita al fine di adottare le migliori pratiche di sicurezza. Non consentire il caricamento dei sito all'interno di un iframe per impostazione predefinita è un piccolo passo per impedire che i siti vengano utilizzati per il ClickJacking. Il ClickJacking avviene quando un utente malintenzionato carica il sito all'interno di qualche frame e sfrutta il design del sito per indurre gli utenti a fornire informazioni personali che poi vengono intercettate e raccolte.