Tùy chọn X-Frame-Options được sử dụng để thông báo cho trình duyệt cho phép website của bạn có được nhúng vào bên trong các thẻ <frame>, <iframe>, <object> hay không. Bài viết dưới dây sẽ hướng dẫn bạn:

Hướng dẫn mở X-Frame-Option trên Apache và Nginx

Kiểm tra X-Frame-Option trên website

Để kiểm tra X-Frame-Option đã mở hay chưa, bạn truy cập vào website bằng trình duyệt Chrome, nhấn F12 và chọn tab Network, chọn vào URL ở cột trái như ảnh dưới đây.

Với X-Frame-Options, chúng ta có 3 giá trị có thể được áp dụng

X-Frame-Options: DENY

X-Frame-Options: SAMEORIGIN

X-Frame-Options: ALLOW-FROM URL

Trong đó:

- DENY là chặn toàn bộ việc đọc dữ liệu từ các trang có gắn frame, iframe

- SAMEORIGIN tức là cho phép trên chính domain này

- ALLOW-FROM URL có thể thể đọc dữ liệu từ URL được chỉ định (có thể đặt ALLOWALL để cho phép tất cả)

Hướng dẫn mở X-Frame-Option trên Nginx

Đầu tiên, bạn tìm file nginx của domain, thường file sẽ được đặt trong /etc/nginx/conf.d/ , chọn đến domain bạn cần sửa và thêm vào:

add_header X-Frame-Options ALLOWALL;

Sau đó, bạn cần restart nginx để cập nhật.

Hướng dẫn mở X-Frame-Option trên Apache

Để mở X-Frame-Option trên Apache, cần thêm đoạn sau vào tệp tin cấu hình chính Apache (ví dụ httpd.conf) hoặc file .htaccess của website

Header always set X-Frame-Options "ALLOWALL"

Reset apache để hoàn tất.