X-Frame-Options

X-Frame-Options je HTTP zabezpečovací záhlaví (HTTP security header), které slouží k omezování nebo zakazování vkládání webových stránek do rámce (frame) jiného webu. Toto zabezpečovací záhlaví pomáhá chránit webové stránky před různými útoky, jako je clickjacking (klikací podvod), kdy útočníci zkoušejí uživatele oklamat a získat neoprávněný přístup k jejich účtu nebo citlivým informacím.

X-Frame-Options nabízí tři hodnoty, které mohou být použity:

1. DENY: Tato hodnota zcela zakazuje vkládání webové stránky do rámce jiného webu. Stránka nebude zobrazena v rámci ani pokud se jedná o stejný web.
2. SAMEORIGIN: Tato hodnota povoluje vkládání stránky do rámce pouze, pokud jsou rámec a webová stránka ze stejného původu (origin). Jinými slovy, stránka může být vložena do rámce, pokud je hostující stránka na stejné doméně.
3. ALLOW-FROM uri: Tato hodnota umožňuje vkládání stránky do rámce pouze na základě dané URI (Uniform Resource Identifier). To znamená, že vkládání je povoleno pouze pro webové stránky, které jsou na uvedené adrese.

Použití X-Frame-Options zabezpečovacího záhlaví je užitečné pro webové stránky, které nemají důvod být vkládány do rámce jiných webů, nebo pokud mají potřebu omezit toto chování kvůli bezpečnostním důvodům. Tímto způsobem mají webové stránky lepší kontrolu nad tím, jak jsou zobrazovány v prostředí jiného webu a mohou minimalizovat potenciální bezpečnostní rizika související s vkládáním do rámce.