Talvez você queira permitir que seu site seja incorporado em um iframe em um caso diferente (por exemplo, para criar uma página de modelo utilizando seus sites). Permitir que um site seja carregado dentro de um iframe em outro site pode abrir uma brecha para que invasores usem a sua marca e o seu site para induzir os visitantes a clicar no link errado ou enviar dados para fontes externas. Ative esta opção somente se você quiser que o site seja carregado em um iframe.
Para habilitar a capacidade de carregar o site em um iframe:
- No painel da esquerda, clique em Configurações e depois em SSL do site.
- Clique em Permitir que o site seja carregado em um iframe.
Configurações de segurança
Foram implementadas as seguintes configurações de segurança para informar os navegadores que o site não deve ser carregado dentro de um iframe:
- x-frame-options: SAMEORIGIN
- content-security-policy: frame-ancestors 'self'
A configuração x-frame-options é a versão original; já content-security-policy é uma configuração mais recente, que ainda não é totalmente compatível com todos os navegadores. Essas configurações informam aos navegadores que o site não deve ser carregado dentro de um iframe.
Elas são ativadas por padrão para implementar diretamente as melhores práticas de segurança. A opção de não carregar sites em iframe por padrão é uma pequena etapa para impedir que os sites sejam usados para ClickJacking. ClickJacking é quando um usuário mal-intencionado carrega um site dentro de um frame, utilizando o design do site para tentar fazer os usuários passarem informações pessoais, que podem ser interceptadas ou coletadas.