# Clickjacking

## Burp Clickbandit

* <https://portswigger.net/burp/documentation/desktop/tools/clickbandit>

## X-Frame-Options

El encabezado HTTP **X-Frame-Options** puede ser usado para indicar si debería permitir al navegador renderizar una página en un `<frame>`, `<iframe>` o `<object>`. Las páginas webs pueden usar este encabezado para evitar ataques de clickjacking, asegurándose que su contenido no es embebido en otros sitios.

```http
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM <URI>
```

* `DENY`: la página web no puede ser mostrada en un marco, independiente del sitio que esté intentándolo.
* `SAMEORIGIN`: la página sólo puede ser mostrada en un marco del mismo origen que dicha página.&#x20;
* `ALLOW-FROM <URI>`: la página sólo puede ser mostrada en un marco del origen especificado.