Es posible que desee permitir que su sitio se incruste en un iframe en otro caso (por ejemplo, para crear una página de plantilla con sus sitios). Si permite que el sitio se cargue dentro de un iframe en otro sitio, actores maliciosos pueden usar su marca y su sitio web para engañar a los que visitan el sitio para que hagan clic en el enlace incorrecto o envíen datos a fuentes externas. Solo habilite esta opción si desea que el sitio se cargue en un iframe.
Advertencia
De forma predeterminada, la capacidad de cargar su sitio en un iframe en otro sitio está deshabilitada. Recomendamos no cambiar el valor predeterminado a menos que sea obligatorio para su sitio específico. Los sitios creados antes del 5 de abril de 2020 pueden mostrar en un iframe.
Para habilitar la capacidad de cargar el sitio en un iframe:
-
En el panel izquierdo, haga clic en Configuración y, a continuación, en SSL del sitio.
-
Haga clic en el botón Permitir que el sitio se cargue en un iframe .
Se ha implementado la siguiente configuración de seguridad para informar a los navegadores que el sitio no debe cargarse dentro de un iframe:
-
x-frame-opciones: MISMOORIGIN
-
política de seguridad de contenido: antecesores del marco 'self'
La configuración x-frame-options es la versión original, mientras que content-security-policy es una configuración más nueva que aún no es totalmente compatible con todos los navegadores. Estos le indican a los navegadores que el sitio no debe cargar dentro de un iframe.
Esta configuración está predeterminada para implementar las mejores prácticas de seguridad directamente. Permitir que los sitios no se carguen dentro de un iframe en forma predeterminada es un pequeño paso para evitar que los sitios se usen para clickJacking. El clickJacking se produce cuando un usuario malintencionado carga el sitio dentro de un marco y usa el diseño del sitio para hacer que los usuarios envíen información personal que puede interceptar o recopilar.