Sinds een aantal maanden heb ik ook een account op Blogsociety.nl. Op deze website kan je samenvattingen van je een blog plaatsen met een link naar je eigen blog.
Blog Society laad jouw blog in via een IFRAME. Bovenin staat wat informatie van hun website met daaronder jouw eigen blog. Zie als voorbeeld mijn blog “Virusscanner en firewall verlengen is niet altijd goedkoper”.
Alleen was het onderste gedeelte van het IFRAME bij mij wit. Bij andere bloggers op de website werkte het wel. Ik heb toen de web developer toolbar van de browser geopend en de pagina herladen. In de console log zag ik een foutmelding van X-Frame-Options dat een pagina van mijn website extern werd ingeladen terwijl dat niet mag.
Ik heb de beveiliging op mijn website streng ingesteld met security headers. X-Frame-Options zorgt ervoor dat ik alleen mijn website in mag laden vanaf mijn eigen domein. Externe websites worden geblokkeerd. Het gaat om deze regel in mijn .htaccess bestand.
Header set X-Frame-Options SAMEORIGIN
Je kan SAMEORIGIN vervangen door ALLOW-FROM gevolgd door de URL van de website die mijn website wel in mag laden. Maar dit wordt weer niet ondersteund in Chrome. Daarvoor moet je dan de Content Security Policy frame-ancestor optie gebruiken.
Voor het gemak heb ik de regel maar even uitgeschakeld. Hierna werd mijn blog wel correct geladen.
Wil je jouw website goed beschermen. Lees dan dit blog over security headers via PHP code of .htaccess.