X-Frame-Options-Schwachstelle/DE/Background

Aus Siwecos
Wechseln zu: Navigation, Suche

Ob einem Browser erlaubt wird, eine Seite in einem frame oder iframe darzustellen, legt dieser Headereintrag fest. Damit können sog. Clickjacking-Attacken vermieden werde, indem sichergestellt wird, dass die Webseite nicht in einer anderen Webseite eingebettet wird. Es gibt verschiedene Werte:

DENY: Kein Rendering der Seite, wenn sie in einem frame oder iframe geladen wird.
SAMEORIGIN: Rendering der Seite erfolgt nur, wenn der frame oder iframe innerhalb Ihrer Domain ist.
ALLOW-FROM DOMAIN: Wird hierbei explizit eine Domain angegeben, werden keine anderen Inhalte von unbekannten Sourcen gerendert bzw. dargestellt.