دليل:$wgApiFrameOptions
| الأمان: $wgApiFrameOptions | |
|---|---|
| يتحكم في إطار صفحات واجهة برمجة التطبيقات. |
|
| أضيف في الإصدار: | 1.20.0 (Gerrit change 20472; git #32b99b11) |
| حذف من الإصدار: | ما زال مستخدمًا |
| القيم المسموح بها: | (سطر) أو false |
| القيمة الافتراضية: | 'DENY' |
| إعدادات أخرى: أبجدية | حسب الدالة | |
التفاصيل
لا يسمح بوضع إطار لصفحات واجهة برمجة التطبيقات مباشرة، وذلك عن طريق تحديد ترويسة X-Frame-Options. ومنذ أن واجهة برمجة التطبيقات ترد رموز CSRF، قد ينتج عن السماح بوضع إطار للنتائج بتعريض أمان حساب مستخدمك للمخاطر.
الخيارات هي كالتالي:
'DENY'- لا تسمح بوضع إطار. نحبذ هذا الخيار لأغلب مواقع الويكي.
'SAMEORIGIN'- السماح بوضع إطار عن طريق صفحات على ذات النطاق. يمكن أن يستخدم هذا ليسمح بالتأطير داخل منشأ جدير بالثقة. هذا الأمر غير آمن لو كانت ثمة صفحة في ذات المنشأ تسمح بتأطير معرفات الموارد الموحدة الاعتباطية.
false- السماح بأي أعمال وضع إطار كانت. يفتح هذا موقع الويكي لهجمات XSS وبالتالي يخاطر بالكامل بحسابات المستخدمين المحلية. مواقع الويكي الخاصة الكائنة خلف جدار ناري تابع لشركة معرضة لخطر كبير. لا نوصي بهذا.