Аутсорсинговый центр

Заказать звонок
Неземной
аутсорсинг
+7 (812) 409-51-09 +7 (499) 113-60-77

X-Frame-Options и SEO: почему Google связывает заголовок с ранжированием

Что это значит

X-Frame-Options — HTTP-заголовок, который запрещает встраивать страницу вашего сайта в iframe на чужих ресурсах.

Защищает от кликджекинга и, по словам Джона Мюллера из Google, — единственный security-заголовок, напрямую связанный с ранжированием.

Зачем это бизнесу

Если поисковый робот или сервисы Google не могут корректно обработать страницу из-за ограничений фрейма, страдает индексация. Для компании это потеря видимости в поиске — особенно если через iframe встроены личные кабинеты, формы заявок или корпоративные порталы.

Какие значения бывают

  • DENY — полный запрет встраивания. Подходит для страниц с чувствительными данными: платёжные формы, личные кабинеты.
  • SAMEORIGIN — разрешает встраивание только на страницах того же домена. Оптимальный выбор для большинства корпоративных сайтов и лендингов.
  • ALLOW-FROM uri — устаревшее значение, разрешает конкретный источник. Использовать не рекомендуется.

Как настроить

Заголовок добавляется на уровне сервера:

  • Apache — директива `Header always set X-Frame-Options` в `.htaccess`.
  • Nginx — `add_header X-Frame-Options` в конфигурации сервера.
  • Cloudflare — раздел Security → Headers.

После настройки проверьте результат через securityheaders.com и убедитесь, что страница корректно отображается в Search Console и Google Cache.

X-Frame-Options и CSP

Content-Security-Policy с директивой `frame-ancestors` — более современная замена X-Frame-Options. Если CSP уже настроена, X-Frame-Options можно не дублировать: Google поддерживает оба механизма, но CSP даёт гибкие правила по источникам.

Где это применяется на практике

При работе с клиентскими порталами и CRM-системами настройка заголовка — стандартная часть технического аудита. В аутсорсинговом колл-центре SPHR этот пункт проверяют при подключении нового клиента: если операторы работают с личным кабинетом через iframe, заголовок настраивают отдельно — до запуска линии.

Что важно не упустить

  • Неправильно настроенный заголовок может заблокировать рендеринг для поисковых роботов.
  • После изменений всегда проверяйте, как страница выглядит в Google Cache.
  • Для большинства сайтов SAMEORIGIN безопаснее, чем полный DENY, — он не ломает встроенные виджеты.
  • Если не уверены в текущей конфигурации — начните с анализа сайта и аудита.

Вывод

X-Frame-Options — простой способ закрыть одну из типовых уязвимостей. Один заголовок в конфигурации сервера защищает от кликджекинга и не мешает SEO, если значения подобраны под задачи сайта. Подробнее о других точках роста в поиске — в материале про техническое SEO, а про комплексную защиту ресурса — в статье о безопасности корпоративного сайта.

Читайте также
Что такое X-Frame-Options и зачем он нужен?
X-Frame-Options — это HTTP-заголовок безопасности, который запрещает или разрешает встраивание страницы вашего сайта в iframe на сторонних ресурсах. Его основная задача — защита от кликджекинга, когда злоумышленник подставляет ваш интерфейс во фрейм и перехватывает действия пользователя.
Как X-Frame-Options влияет на SEO?
По словам Джона Мюллера (Google), X-Frame-Options — единственный заголовок безопасности, который напрямую связан с SEO. Если поисковый робот или сервисы Google не могут корректно обработать страницу из-за ограничений фрейма, это может ухудшить индексацию и снизить видимость сайта в поиске.
Какие значения X-Frame-Options существуют?
Заголовок принимает три значения: DENY (полный запрет встраивания), SAMEORIGIN (разрешено только на страницах того же домена) и ALLOW-FROM uri (устаревшее, разрешает конкретный источник). Для большинства сайтов оптимален SAMEORIGIN.
Как правильно настроить X-Frame-Options на сайте?
Заголовок добавляется в конфигурации сервера: в Apache — через Header always set X-Frame-Options в .htaccess, в Nginx — через add_header X-Frame-Options, в Cloudflare — в разделе Security → Headers. После настройки проверьте результат через securityheaders.com.
Что лучше выбрать: DENY или SAMEORIGIN?
Для корпоративных сайтов и лендингов обычно достаточно SAMEORIGIN — это защищает от кликджекинга, но не мешает встраиванию собственных виджетов. DENY стоит использовать для страниц с чувствительными данными: личные кабинеты, платёжные формы.
Чем X-Frame-Options отличается от Content-Security-Policy frame-ancestors?
Content-Security-Policy с директивой frame-ancestors — более современная замена X-Frame-Options. Если CSP настроена, X-Frame-Options можно не дублировать. Google поддерживает оба механизма, но CSP даёт гибкие правила по источникам.
Может ли X-Frame-Options навредить SEO?
Да, если заголовок настроен некорректно и блокирует рендеринг страниц для поисковых роботов или инструментов предпросмотра Google. Поэтому важно тестировать настройку после внедрения и проверять, как сайт отображается в Search Console и Google Cache.
Возврат к списку

База знаний организована при поддержке делового сообщества. Спираль?!

Компания
Услуги
База знаний
+7 (812) 409-51-09 +7 (499) 113-60-77
Мы онлайн
info@sphr.online

© СФЕРА 2013-2026.
Сделано нами с любовью

Политика конфиденциальности Политика использования cookie Согласие на обработку персональных данных Согласие на рекламную рассылку