Saltar al contenido principal
El clickjacking es un ataque que engaña a un usuario para que haga clic en un elemento de una página web que es invisible o está disfrazado de otro elemento. Esto se logra cargando contenido en un iframe y renderizando elementos sobre él. En el contexto de las páginas de , un atacante podría engañar al usuario para que haga clic en un botón de Login o Reset Password. Esto puede evitarse configurando los siguientes encabezados HTTP: X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none' Aunque este posible ataque no implique un riesgo significativo, agregar estos encabezados es una buena práctica de seguridad. Además, los escáneres de seguridad también detectan su ausencia, por lo que los informes de las pruebas de penetración podrían mencionarla.

Actions

En los casos en que renderiza la página de inicio de sesión en un iframe, agregar estos encabezados podría provocar incompatibilidades. Por ello, en lugar de agregarlos para todos los clientes, Auth0 le permite activarlos de forma opcional, y le recomendamos encarecidamente que los habilite. La siguiente acción no es necesaria si usa la New Universal Login Experience, porque en ese caso esos encabezados siempre se configuran. Para optar por este cambio:
  1. Vaya a Tenant Settings > Advanced Settings.
  2. Desplácese hasta Migrations y desactive la opción Disable clickjacking protection for Classic Universal Login.