EricLaw's page mantiene una lista de navegadores compatibles.
Las versiones actuales de los principales navegadores de escritorio lo admiten; las versiones anteriores y el nicho y algunos navegadores móviles no. Por lo tanto, es probable que también desee incluir un anti-framing <script>
, para configurar top.location
(y elimine primero el contenido de la página en caso de que se rompa el armazón, consulte this question para saber por qué).
Es posible que prefiera el enfoque de secuencia de comandos a X-Frame-Options
cuando desee permitir el encuadre selectivo. X-Frame-Options
no permite la 'lista blanca', por lo que no puede, por ejemplo, permitir el tráfico de Google Imágenes, pero no otros.
De cualquier manera, IE6-7 aún permitirá a los atacantes enmarcar su página y desactivar el destructor de cuadros. Desafortunadamente, el cuestionable atributo <iframe security>
existía antes del X-Frame-Options
. Podría intentar agregar <base target="_top">
para intentar que cualquier navegación rompa el encuadre tradicional (o simplemente no funcione, en presencia de anti-frame-busters), pero esto no lo puede ayudar contra los ataques de superposición de iframes invisibles.
Buen punto acerca de X-Frame-Options que no permite la inclusión de listas blancas. También he leído que es una buena práctica no colocar este encabezado en cada página, sino solo en las más delicadas, lo que ayuda a evitar problemas con las imágenes de Google, por ejemplo. – Catch22
Puede operar una lista blanca configurándola para permitir que el encabezado de referencia/origen sea un sitio confiable. – Gelatin