X-Frame-Options-Schwachstelle/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung der HTTP-Header X-Frame Optionen

Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.

Ergebnis positiv Der Header ist korrekt gesetzt und verbessert den Schutz gegen Framing-Angriffe wie beispielsweise UI-Redressing bzw. Clickjacking.
Ergebnis negativ HTTP-Header X-Frame Optionen nicht gesetzt.
Beschreibung Das Setzen von X-Frame-Options hilft dabei, Angriffe über Framing-Mechanismen zu unterbinden. Dies gewährleistet bspw., dass Clickjacking-Angriffe größtenteils gemildert werden können. Darüber hinaus werden Downgrading-Angriffe wie etwa im Internet Explorer minimiert.
Hintergrund Ob einem Browser erlaubt wird, eine Seite in einem frame oder iframe darzustellen, legt dieser Headereintrag fest. Damit können sog. Clickjacking-Attacken vermieden werde, indem sichergestellt wird, dass die Webseite nicht in einer anderen Webseite eingebettet wird. Es gibt verschiedene Werte:

DENY: Kein Rendering der Seite, wenn sie in einem frame oder iframe geladen wird.
SAMEORIGIN: Rendering der Seite erfolgt nur, wenn der frame oder iframe innerhalb Ihrer Domain ist.
ALLOW-FROM DOMAIN: Wird hierbei explizit eine Domain angegeben, werden keine anderen Inhalte von unbekannten Sourcen gerendert bzw. dargestellt.

Auswirkung Verhindert z. B. Clickjacking-Angriffe. Einfach zu implementieren und keine weiteren Anpassungen auf der Website erforderlich.
Lösung/Tipps Wenn gemeldet wurde, dass im HTTP-Header die X-Frame Optionen nicht gesetzt sind, ist Ihre Webseite nicht ausreichend gegen Clickjacking-Angriffe geschützt.

Im HTTP-Header X-Frame Optionen entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.

Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:

Header always append X-Frame-Options DENY

Header always append X-Frame-Options DENY

Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen:

Header always append X-Frame-Options SAMEORIGIN

Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:

Header always append X-Frame-Options ALLOW-FROM botfrei.de

Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)