Hay una directiva ALLOW-FROM
para permitir la inclusión en la lista blanca de dominios, sin embargo, es solo compatible con ciertos navegadores .
La eliminación de X-FRAME-OPTIONS
(o los nuevos antecesores de fotogramas equivalentes a CSP) podría hacer que su sitio sea vulnerable al clickjacking u otros ataques como Manipulación del historial de sitios cruzados .
El clickjacking solo es realmente un riesgo si hay algo en lo que hacer clic. Si su sitio tiene otra entrada que el usuario debe completar antes de registrar cualquier clic, entonces la vulnerabilidad no sería explotable. Esto, sin embargo, es difícil de determinar sin revisar toda la funcionalidad del sitio. Y luego, cualquier actualización adicional en su sitio puede significar que esto se puede explotar sin que usted lo sepa. A menudo es más seguro deshabilitar el marco a menos que exista un requisito de negocio para definitivamente .