Oletuksena kaikki Seravolla olevat sivustot sisältävät X-Frame-Options: SAMEORIGIN -otsakkeen. Tämä suojausominaisuus estää luvattomia sivustoja upottamasta sisältöäsi iframe-kehyksiin ja suojaa sivustoasi klikkaushyökkäyksiltä.
Vaikka näitä oletusarvoisia suojaussääntöjä ei voi poistaa kokonaan, ne voidaan ohittaa tai lieventää alla olevilla menetelmillä.
Suositellut menetelmät iframe-kehyksien sallimiseksi
1. PHP:n käyttö (suositellaan WordPressille)
Voit muokata otsikoita suoraan PHP-koodissasi (esim. functions.php-tiedostossa). Tämä on hyödyllistä, jos haluat sallia upotukset sivustosi tietyissä osissa URL-osoitteen perusteella.
if ( strpos($_SERVER[‘REQUEST_URI’], ‘/widget/’) !== false ) {
header(”X-Frame-Options: ALLOWALL”); }
2. Nginx-määritysten käyttö
Jos sivustosi osa ei käytä PHP-toimintoja, voit soveltaa nginx-sääntöä suoraan sijaintilohkoon:
location /widget/ {
add_header X-Frame-Options ALLOWALL; }
Nykyaikaiset ja vanhat selaimet
Kun määrität käyttöoikeuksia, muista, että standardit kehittyvät jatkuvasti:
Vanhat selaimet: Käytä
X-Frame-Options: ALLOWALL-otsaketta. Huomaa, että vaikka ALLOWALL ei ole virallinen avainsana spesifikaatiossa, se on laajasti tuettu useimmissa selaimissa.Nykyaikaiset selaimet: Käytä Content-Security-Policy (CSP) -sääntöä
frame-ancestors-ohjeella. Tämä on X-Frame-Options-asetuksen moderni seuraaja.
Huom: Jos sivusto lähettää frame-ancestors-otsakkeen, modernit selaimet asettavat nämä säännöt etusijalle ja ohittavat ristiriitaiset X-Frame-Options-asetukset.
Esimerkki tietystä verkkotunnuksesta: Content-Security-Policy: frame-ancestors https://example.com