На странице Защита от фреймов (Настройки > Проактивная защита > Защита от фреймов) можно включить/отключить ограничение работы во фрейме, а также задать исключения на действие защиты.

Запрет на использование кросс-доменных фреймов, ссылающихся на страницы ресурса, задается установкой заголовка (header) X-Frame-Options в значение SAMEORIGIN.

Защита от фреймов в коробочных продуктах на BitrixVM

Защита от фреймов присутствует не только в административных настройках коробочных продуктов 1С-Битрикс, а и в виртуальной машине BitrixVM. Вы найдете header для защиты от фреймов в файле конфигурации nginx по пути /etc/nginx/bx/conf/general-add_header.conf. Запись имеет вид:

add_header X-Frame-Options SAMEORIGIN;

Когда вы включаете защиту от фреймов через модуль проактивной защиты, добавляется такой же заголовок. Причем есть возможность настроить исключения, если такой хедер не нужен, например, для Яндекс.Метрики.

При стандартных настройках BitrixVM может возникнуть ситуация, когда конфиг nginx перекроет системную настройку защиты от фремов. В этом случае хедер будет присутствовать всегда, даже если он выключен в административных настройках. А при включённой защите от фремов, хедер будет дублироваться и сайты, которые добавлены в исключения защиты, не будут корректно работать.

Вариант решения такой ситуации — использовать только один инструмент. Рекомендуем пользоваться инструментом проактивной защиты Защита от фрейма в продукте, чтобы не менять регулярно конфигурационные файлы сервера. Тогда в BitrixVM вы можете один раз закомментировать хедер в файле /etc/nginx/bx/conf/general-add_header.conf:

#add_header X-Frame-Options SAMEORIGIN;

А затем включить защиту от фреймов через Проактивная защита > Защита от фреймов.

Теперь заголовок X-Frame-Options будет записан верно и вы сможете добавлять исключения через админку, не внося изменений в конфигурационные файлы сервера.