X-Frame-Options es una cabecera de respuesta HTTP que indica si un navegador debe permitir renderizar una página en un frame, iframe, embed u objeto. Fue introducida como defensa contra ataques de clickjacking y es compatible con todos los navegadores modernos.
La cabecera acepta tres valores: DENY (la página no puede mostrarse en ningún frame), SAMEORIGIN (la página solo puede ser enmarcada por páginas del mismo origen) y ALLOW-FROM uri (la página puede ser enmarcada por el origen especificado, aunque este valor tiene soporte limitado en navegadores). Los libros sobre cabeceras de seguridad HTTP en Amazon explican las opciones de configuración.
Aunque X-Frame-Options sigue siendo ampliamente utilizado, la directiva frame-ancestors en Content Security Policy (CSP) es el reemplazo moderno. El frame-ancestors de CSP ofrece más flexibilidad, soportando múltiples orígenes y patrones con comodines. Cuando tanto X-Frame-Options como CSP frame-ancestors están presentes, CSP tiene prioridad en los navegadores que lo soportan.
Para los servicios de acortamiento de URL, establecer X-Frame-Options en DENY o SAMEORIGIN en el panel de administración y las páginas de contenido previene que estas páginas sean incrustadas en sitios maliciosos. Los endpoints de redirección típicamente no necesitan protección de frame ya que redirigen inmediatamente en lugar de mostrar contenido. Los libros sobre endurecimiento web en Amazon cubren la configuración de cabeceras.