Oletuksena kaikki Seravolla olevat sivustot sisältävät X-Frame-Options: SAMEORIGIN -otsakkeen. Tämä suojausominaisuus estää luvattomia sivustoja upottamasta sisältöäsi iframe-kehyksiin ja suojaa sivustoasi klikkaushyökkäyksiltä.
Vaikka näitä oletusarvoisia suojaussääntöjä ei voi poistaa kokonaan, ne voidaan ohittaa tai lieventää alla olevilla menetelmillä.
Suositellut menetelmät iframe-kehyksien sallimiseksi
1. PHP:n käyttö (suositellaan WordPressille)
Voit muokata otsikoita suoraan PHP-koodissasi send_headers koukulla (esim. functions.php-tiedostossa). Tämä on hyödyllistä, jos haluat sallia upotukset sivustosi tietyissä osissa URL-osoitteen perusteella.
add_action( 'send_headers', function() {
if ( strpos( $_SERVER['REQUEST_URI'], '/widget/' ) !== false ) {
header( 'X-Frame-Options: ALLOWALL' );
}
});
2. Nginx-määritysten käyttö
Jos sivustosi osa ei käytä PHP-toimintoja, voit soveltaa nginx-sääntöä suoraan sijaintilohkoon:
location /widget/ {
add_header X-Frame-Options ALLOWALL; }
Nykyaikaiset ja vanhat selaimet
Kun määrität käyttöoikeuksia, muista, että standardit kehittyvät jatkuvasti:
Vanhat selaimet: Käytä
X-Frame-Options: ALLOWALL-otsaketta. Huomaa, että vaikka ALLOWALL ei ole virallinen avainsana spesifikaatiossa, se on laajasti tuettu useimmissa selaimissa.Nykyaikaiset selaimet: Käytä Content-Security-Policy (CSP) -sääntöä
frame-ancestors-ohjeella. Tämä on X-Frame-Options-asetuksen moderni seuraaja.
Huom: Jos sivusto lähettää frame-ancestors-otsakkeen, modernit selaimet asettavat nämä säännöt etusijalle ja ohittavat ristiriitaiset X-Frame-Options-asetukset.
Esimerkki tietystä verkkotunnuksesta: Content-Security-Policy: frame-ancestors https://example.com