Prevenção da incorporação de iframe de terceiros

Proprietários de sites muitas vezes enfrentam o problema de suas páginas serem incorporadas em frames (iframes) de terceiros sites. Embora o cabeçalho da solicitação de referência se mostre ineficaz na detecção desse cenário durante o carregamento da página, existem várias abordagens para resolver esse problema.

Detecção de JavaScript

Depois que a página é carregada, o JavaScript pode ser empregado para detectar se ele está sendo exibido dentro de um quadro. Ao comparar as propriedades top e self, pode-se determinar se a página está incorporada. Se forem diferentes, a página estará dentro de um iframe.

Cabeçalho X-FRAME-OPTIONS

Alguns navegadores modernos suportam o cabeçalho X-FRAME-OPTIONS, que oferece dois opções:

• DENY: Impede o carregamento da página se estiver dentro de um iframe
• SAMEORIGIN: Restringe o carregamento ao mesmo domínio do frame pai

Navegadores como o Picasa respeitam este cabeçalho e evitam a incorporação de sites de terceiros.

Navegadores que suportam X-FRAME-OPTIONS Header

Navegadores que suportam X-FRAME -OPÇÕES com suas versões mínimas incluem:

• IE8 e IE9
• Opera 10.50
• Safari 4
• Chrome 4.1.249.1042
• Firefox 3.6.9 (ou anterior com extensão NoScript)