X-Frame-Options-Schwachstelle/DE
Überprüfung der HTTP-Header X-Frame Optionen
Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.
Ergebnis positiv | Der Header ist korrekt gesetzt und verbessert den Schutz gegen Framing-Angriffe wie beispielsweise UI-Redressing bzw. Clickjacking. |
Ergebnis negativ | HTTP-Header X-Frame Optionen nicht gesetzt. |
Beschreibung | Das Setzen von X-Frame-Options hilft dabei, Angriffe über Framing-Mechanismen zu unterbinden. Dies gewährleistet bspw., dass Clickjacking-Angriffe größtenteils gemildert werden können. Darüber hinaus werden Downgrading-Angriffe wie etwa im Internet Explorer minimiert. |
Hintergrund | Ob einem Browser erlaubt wird, eine Seite in einem frame oder iframe darzustellen, legt dieser Headereintrag fest. Damit können sog. Clickjacking-Attacken vermieden werde, indem sichergestellt wird, dass die Webseite nicht in einer anderen Webseite eingebettet wird. Es gibt verschiedene Werte:
DENY: Kein Rendering der Seite, wenn sie in einem frame oder iframe geladen wird. |
Auswirkung | Verhindert z. B. Clickjacking-Angriffe. Einfach zu implementieren und keine weiteren Anpassungen auf der Website erforderlich. |
Lösung/Tipps | Wenn gemeldet wurde, dass im HTTP-Header die X-Frame Optionen nicht gesetzt sind, ist Ihre Webseite nicht ausreichend gegen Clickjacking-Angriffe geschützt.
Im HTTP-Header X-Frame Optionen entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird. Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden: Header always append X-Frame-Options DENY Header always append X-Frame-Options DENY Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen: Header always append X-Frame-Options SAMEORIGIN Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden: Header always append X-Frame-Options ALLOW-FROM botfrei.de Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel) |