Hemos establecido el conjunto X-Frame-Options en el encabezado como ALLOW-FROM mismo origen pero hay un requisito para abrir la página de abajo desde algún sitio web de terceros. ¿Ves el problema de seguridad aquí?
HTTP::header replace X-Frame-Options "SAMEORIGIN"
Hay una directiva ALLOW-FROM para permitir la inclusión en la lista blanca de dominios, sin embargo, es solo compatible con ciertos navegadores .
La eliminación de X-FRAME-OPTIONS (o los nuevos antecesores de fotogramas equivalentes a CSP) podría hacer que su sitio sea vulnerable al clickjacking u otros ataques como Manipulación del historial de sitios cruzados .
El clickjacking solo es realmente un riesgo si hay algo en lo que hacer clic. Si su sitio tiene otra entrada que el usuario debe completar antes de registrar cualquier clic, entonces la vulnerabilidad no sería explotable. Esto, sin embargo, es difícil de determinar sin revisar toda la funcionalidad del sitio. Y luego, cualquier actualización adicional en su sitio puede significar que esto se puede explotar sin que usted lo sepa. A menudo es más seguro deshabilitar el marco a menos que exista un requisito de negocio para definitivamente .
De: El encabezado de respuesta de X-Frame-Options :
SAMEORIGIN
The page can only be displayed in a frame on the same origin as the page itself.
Ya lo sabes, pero lo menciono para hacerte saber que ha habido, AFAIK, cualquier vulnerabilidad al respecto. Al hacerlo, prefieres agregar una capa de seguridad a tu aplicación web al evitar clickjacking pero esto puede no ser suficiente: X-Frame-Options vale menos de lo que piensas .
Lea otras preguntas en las etiquetas clickjacking iframe