Talvez você queira permitir que seu site seja incorporado em um iframe em uma caixa diferente (por exemplo, para criar uma página modelo com seus sites). Permitir que um site seja carregado dentro de um iframe em outro site pode permitir que agentes mal-intencionados usem seu site e sua marca para induzir os visitantes a clicar no link errado ou enviar dados para fontes externas. Ative essa opção somente se quiser que o site seja carregado em um iframe.
Atenção
Por padrão, a capacidade de carregar seu site em um iframe em outro site está desativada. Recomendamos não alterar o padrão, a menos que seja obrigatório para seu site específico. Os sites criados antes de 5 de abril de 2020 podem ser exibidos em um iframe.
Para habilitar a capacidade de carregar o site em um iframe:
-
No painel esquerdo, clique em Configurações e, em seguida, clique em SSL do site.
-
Clique no botão Permitir que o site seja carregado em um iframe.
Foram implementadas as seguintes configurações de segurança para informar os navegadores que o site não deve ser carregado dentro de um iframe:
-
opções de x-frame: SAMEORIGIN
-
política de segurança de conteúdo: frame-ancestors 'self'
A configuração x-frame-options é a versão original, enquanto a política de segurança de conteúdo é uma configuração mais recente que ainda não é totalmente suportada por todos os navegadores. Eles informam aos navegadores que o site não deve ser carregado em um iframe.
Elas são ativadas por padrão para implementar diretamente as melhores práticas de segurança. A opção de não carregar sites em iframe por padrão é uma pequena etapa para impedir que os sites sejam usados para ClickJacking. ClickJacking é quando um usuário mal-intencionado carrega um site dentro de um frame, utilizando o design do site para tentar fazer os usuários passarem informações pessoais, que podem ser interceptadas ou coletadas.