diff options
author | Alexander <alexander_belial999@hotmail.com> | 2022-01-18 14:11:51 -0600 |
---|---|---|
committer | GitHub <noreply@github.com> | 2022-01-18 14:11:51 -0600 |
commit | 573176e2e464107659a2222262d8980c264a2db6 (patch) | |
tree | bc19fd7ba0c929e435d32038e045218d31b163fa /files/es | |
parent | 7f32c023ab113bae4b321a0ffcbb2f67946eecf7 (diff) | |
download | translated-content-573176e2e464107659a2222262d8980c264a2db6.tar.gz translated-content-573176e2e464107659a2222262d8980c264a2db6.tar.bz2 translated-content-573176e2e464107659a2222262d8980c264a2db6.zip |
Solve #3684 in es locale, update content and convert to md (#3729)
* Solve #3684, update content and convert to md
* Update index.md
edit broken url
Co-authored-by: GrayWolf <a13x.graywolf@gmail.com>
Diffstat (limited to 'files/es')
-rw-r--r-- | files/es/web/http/headers/x-frame-options/index.html | 134 | ||||
-rw-r--r-- | files/es/web/http/headers/x-frame-options/index.md | 147 |
2 files changed, 147 insertions, 134 deletions
diff --git a/files/es/web/http/headers/x-frame-options/index.html b/files/es/web/http/headers/x-frame-options/index.html deleted file mode 100644 index cb18b7d4b6..0000000000 --- a/files/es/web/http/headers/x-frame-options/index.html +++ /dev/null @@ -1,134 +0,0 @@ ---- -title: X-Frame-Options -slug: Web/HTTP/Headers/X-Frame-Options -translation_of: Web/HTTP/Headers/X-Frame-Options ---- -<div>{{HTTPSidebar}}</div> - -<p>El encabezado de respuesta <a href="/en-US/docs/Web/HTTP">HTTP</a> <strong><code>X-Frame-Options </code></strong>puede ser usado para indicar si debería permitírsele a un navegador renderizar una página en un {{HTMLElement("frame")}}, {{HTMLElement("iframe")}} o {{HTMLElement("object")}} . Las páginas webs pueden usarlo para evitar ataques de {{interwiki("wikipedia", "clickjacking")}} , asegurándose que su contenido no es embebido en otros sitios.</p> - -<p>La seguridad añadida sólo es proporcionada si el usuario que está accediendo al documento está utilizando un navegador que soporte <code>X-Frame-Options</code>.</p> - -<table class="properties"> - <tbody> - <tr> - <th scope="row">Tipo de encabezado</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Nombre de encabezado prohibido")}}</th> - <td>no</td> - </tr> - </tbody> -</table> - -<h2 id="Sintaxis">Sintaxis</h2> - -<p>Existen tres posibles directivas para <code>X-Frame-Options</code>:</p> - -<pre class="syntaxbox">X-Frame-Options: DENY -X-Frame-Options: SAMEORIGIN -X-Frame-Options: ALLOW-FROM https://example.com/ -</pre> - -<h3 id="Directivas">Directivas</h3> - -<p>Si especifica DENY, fallarán no sólo los intentos de cargar la página en un marco desde otros sitios, sino que fallarán cuando sea cargada desde el mismo sitio. Por otro lado, si especifica SAMEORIGIN, puede usar la página en un marco mientras el sitio que la incluya sea el mismo que la sirve.</p> - -<dl> - <dt><code>DENY</code></dt> - <dd>La página no puede ser mostrada en un marco, independiente del sitio que esté intentándolo.</dd> - <dt><code>SAMEORIGIN</code></dt> - <dd>La página sólo puede ser mostrada en un marco del mismo origen que dicha página.</dd> - <dt><code>ALLOW-FROM <em>uri</em></code></dt> - <dd>La página sólo puede ser mostrada en un marco del origen especificado.Tenga en cuenta que en Firefox esto todavía sufre del mismo problema que SAMEORIGIN — no verifica los antecesores del marco para ver si están en el mismo origen.</dd> -</dl> - -<h2 id="Ejemplos">Ejemplos</h2> - -<div class="note"> -<p><strong>Nota:</strong> ¡Configurar el tag <em>meta</em> es inútil! Por ejemplo, <code><meta http-equiv="X-Frame-Options" content="deny"></code> no tiene efecto. ¡No lo use! Sólo funcionará configurando el encabezado HTTP <code>X-Frame-Options</code> como en los ejemplos anteriores.</p> -</div> - -<h3 id="Configurando_Apache">Configurando Apache</h3> - -<p>Agregue lo siguiente a la configuración de su sitio para que Apache envíe el encabezado <code>X-Frame-Options</code> para todas las páginas:</p> - -<pre>Header always append X-Frame-Options SAMEORIGIN -</pre> - -<p>Para que Apache envíe <code>X-Frame-Options</code> deny , agregue lo siguiente a la configuración de su sitio:</p> - -<pre>Header set X-Frame-Options DENY -</pre> - -<p>Para que Apache envíe el encabezado <code>X-Frame-Options</code> para permitir (<code>ALLOW-FROM</code>) un host en específico, agregue esto a la configuración de su sitio:</p> - -<pre>Header set X-Frame-Options "ALLOW-FROM https://example.com/" -</pre> - -<h3 id="Configurando_nginx">Configurando nginx</h3> - -<p>Para configurar nginx a que envíe el encabezado <code>X-Frame-Options</code> , agregue esto a la configuración, ya sea http, server o location:</p> - -<pre>add_header X-Frame-Options SAMEORIGIN; -</pre> - -<h3 id="Configurando_IIS">Configurando IIS</h3> - -<p>Para hacer que IIS envíe el encabezado <code>X-Frame-Options</code>, agrege esto al archivo <code>Web.config</code> de su sitio:</p> - -<pre class="brush: xml"><system.webServer> - ... - - <httpProtocol> - <customHeaders> - <add name="X-Frame-Options" value="SAMEORIGIN" /> - </customHeaders> - </httpProtocol> - - ... -</system.webServer> -</pre> - -<h3 id="Configurando_HAProxy">Configurando HAProxy</h3> - -<p>Para hacer que HAProxy envíe el encabezado <code>X-Frame-Options</code>, agrege lo siguiente a su configuración front-end, listen, o backend:</p> - -<pre>rspadd X-Frame-Options:\ SAMEORIGIN</pre> - -<h2 id="Especificaciones">Especificaciones</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Especificación</th> - <th scope="col">Título</th> - </tr> - <tr> - <td>{{RFC("7034")}}</td> - <td>HTTP Header Field X-Frame-Options</td> - </tr> - </tbody> -</table> - -<h2 id="Compatibilidad_con_navegadores">Compatibilidad con navegadores</h2> - - - -<p>{{Compat("http.headers.X-Frame-Options")}}</p> - -<p> </p> - -<p>Corrección de traducción por Ervin A. Santos R.</p> - -<p>el 21-Oct-2018</p> - -<h2 id="Vea_también">Vea también</h2> - -<ul> - <li><a class="external" href="https://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx">ClickJacking Defenses - IEBlog</a></li> - <li><a href="https://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx">Combating ClickJacking with X-Frame-Options - IEInternals</a></li> - <li><a href="https://tools.ietf.org/html/rfc7034">HTTP Header Field X-Frame-Options - RFC 7034</a></li> - <li><a href="https://w3c.github.io/webappsec/specs/content-security-policy/#directive-frame-ancestors">CSP Level 2 frame-ancestors directive</a></li> -</ul> diff --git a/files/es/web/http/headers/x-frame-options/index.md b/files/es/web/http/headers/x-frame-options/index.md new file mode 100644 index 0000000000..0c5c1ffecb --- /dev/null +++ b/files/es/web/http/headers/x-frame-options/index.md @@ -0,0 +1,147 @@ +--- +title: X-Frame-Options +slug: Web/HTTP/Headers/X-Frame-Options +translation_of: Web/HTTP/Headers/X-Frame-Options +tags: + - Gecko + - HAProxy + - HTTP + - Response Header + - Security + - nginx +browser-compat: http.headers.X-Frame-Options +--- +{{HTTPSidebar}} + +El encabezado de respuesta [HTTP](/es/docs/Web/HTTP) **`X-Frame-Options`** puede ser usado para indicar si debería permitírsele a un navegador renderizar una página en un {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("embed")}} u {{HTMLElement("object")}}. Las páginas web pueden usarlo para evitar ataques de [click-jacking](/en-US/docs/Web/Security/Types_of_attacks#click-jacking), asegurándose de que su contenido no es embebido en otros sitios. + +La seguridad añadida sólo es proporcionada si el usuario que está accediendo al documento está utilizando un navegador que soporte `X-Frame-Options`. + + +> **Nota:** El encabezado HTTP {{HTTPHeader("Content-Security-Policy")}} tiene una directiva {{HTTPHeader("Content-Security-Policy/frame-ancestors", "frame-ancestors")}} que deja [obsoleto](https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options) este encabezado para los navegadores compatibles. + +<table class="properties"> + <tbody> + <tr> + <th scope="row">Tipo de encabezado</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>no</td> + </tr> + </tbody> +</table> + +## Sintaxis + +Existen dos posibles directivas para `X-Frame-Options`: + +``` +X-Frame-Options: DENY +X-Frame-Options: SAMEORIGIN +``` + +### Directivas + +Si especifica `DENY`, fallarán no sólo los intentos de cargar la página en un marco desde otros sitios, sino que fallarán cuando sea cargada desde el mismo sitio. Por otro lado, si especifica `SAMEORIGIN`, puede usar la página en un marco mientras el sitio que la incluya sea el mismo que la sirve. + +- `DENY` + - : La página no puede ser mostrada en un marco, independiente del sitio que esté intentándolo. +- `SAMEORIGIN` + - : La página sólo puede ser mostrada en un marco del mismo origen que dicha página. La especificación deja que los proveedores de navegadores decidan si esta opción se aplica al nivel superior, al padre o a toda la cadena, aunque se argumenta que la opción no es muy útil a menos que todos los padres también estén en el mismo origen (ver {{bug(725490)}}). Consulte también {{anch("Browser compatibility")}} para obtener detalles de soporte. +- `ALLOW-FROM uri` {{deprecated_inline}} + - : Esta es una directiva obsoleta que ya no funciona en navegadores modernos. No usar. En el soporte de navegadores antiguos, una página se puede mostrar en un marco solo en el origen especificado _uri_. Tenga en cuenta que en versiones anteriores de Firefox esto todavía sufre del mismo problema que `SAMEORIGIN` — no verifica los antecesores del marco para ver si están en el mismo origen. El encabezado HTTP {{HTTPHeader("Content-Security-Policy")}} tiene una directiva {{HTTPHeader("Content-Security-Policy/frame-ancestors", "frame-ancestors")}} que puede usar en su lugar. + +## Ejemplos + +> **Nota:** ¡Configurar X-Frame-Options en el tag {{HTMLElement("meta")}} es inútil! Por ejemplo, `<meta http-equiv="X-Frame-Options" content="deny">` no tiene efecto. ¡No lo use! `X-Frame-Options` sólo funcionará configurandolo a tráves del encabezado HTTP, como en los ejemplos a continuación. + +### Configurando Apache + +Agregue lo siguiente a la configuración de su sitio para que Apache envíe el encabezado `X-Frame-Options` para todas las páginas: + +``` +Header always set X-Frame-Options "SAMEORIGIN" +``` + +Para que Apache envíe `X-Frame-Options` deny, agregue lo siguiente a la configuración de su sitio: + +``` +Header set X-Frame-Options "DENY" +``` + +### Configurando nginx + +Para configurar nginx a que envíe el encabezado `X-Frame-Options`, agregue esto a la configuración, ya sea http, server o location: + +``` +add_header X-Frame-Options SAMEORIGIN always; +``` + +### Configurando IIS + +Para hacer que IIS envíe el encabezado `X-Frame-Options`, agrege esto al archivo `Web.config` de su sitio: + +```html +<system.webServer> + ... + + <httpProtocol> + <customHeaders> + <add name="X-Frame-Options" value="SAMEORIGIN" /> + </customHeaders> + </httpProtocol> + + ... +</system.webServer> +``` + +O consulte este [artículo de soporte de Microsoft sobre cómo establecer esta configuración mediante la interfaz de usuario del Administrador de IIS](https://support.office.com/en-us/article/Mitigating-framesniffing-with-the-X-Frame-Options-header-1911411b-b51e-49fd-9441-e8301dcdcd79) + +### Configurando HAProxy + +Para hacer que HAProxy envíe el encabezado `X-Frame-Options`, agrege lo siguiente a su configuración front-end, listen, o backend: + +``` +rspadd X-Frame-Options:\ SAMEORIGIN +``` + +Opcionalmente, en nuevas versiones: + +``` +http-response set-header X-Frame-Options SAMEORIGIN +``` + +### Configurando Express + +Para hacer que Express envíe el encabezado `X-Frame-Options`, puede usar [helmet](https://helmetjs.github.io/) que utiliza [frameguard](https://helmetjs.github.io/docs/frameguard/) para establecer el encabezado. Agregue lo siguiente a la configuración de su servidor: + +```js +const helmet = require('helmet'); +const app = express(); +app.use(helmet.frameguard({ action: 'SAMEORIGIN' })); +``` + +Opcionalmente, puede usar frameguard directamente: + +```js +const frameguard = require('frameguard') +app.use(frameguard({ action: 'SAMEORIGIN' })) +``` + +## Especificaciones + +{{Specifications}} + +## Compatibilidad con navegadores + +{{Compat}} + +## Vea también + +- {{HTTPHeader("Content-Security-Policy")}} directiva {{HTTPHeader("Content-Security-Policy/frame-ancestors", "frame-ancestors")}} +- [HTTP Header Field X-Frame-Options - RFC 7034](https://datatracker.ietf.org/doc/html/rfc7034) +- [ClickJacking Defenses - IEBlog](https://docs.microsoft.com/en-us/archive/blogs/ie/ie8-security-part-vii-clickjacking-defenses) +- [Combating ClickJacking with X-Frame-Options - IEInternals](https://docs.microsoft.com/en-us/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options) + |