X-Frame-Options-Schwachstelle/DE/Background: Unterschied zwischen den Versionen
Zeile 2: | Zeile 2: | ||
'''DENY:''' Kein Rendering der Seite, wenn sie in einem ''frame'' oder ''[[IFrame|iframe]]'' geladen wird<br> | '''DENY:''' Kein Rendering der Seite, wenn sie in einem ''frame'' oder ''[[IFrame|iframe]]'' geladen wird<br> | ||
'''SAMEORIGIN:''' Rendering der Seite erfolgt nur, wenn der ''frame'' oder ''[[IFrame|iframe]]'' innerhalb Ihrer Domain ist<br> | '''SAMEORIGIN:''' Rendering der Seite erfolgt nur, wenn der ''frame'' oder ''[[IFrame|iframe]]'' innerhalb Ihrer Domain ist<br> | ||
− | '''ALLOW-FROM DOMAIN:''' | + | '''ALLOW-FROM DOMAIN:''' Wird hierbei explizit eine Domain angegeben, werden keine anderen Inhalte von unbekannten Sourcen gerendert bzw. dargestellt. |
Version vom 2. Juli 2018, 12:47 Uhr
Ob einem Browser erlaubt wird, eine Seite in einem frame oder iframe darzustellen, legt dieser Headereintrag fest. Damit können sog. Clickjacking-Attacken vermieden werde, indem sichergestellt wird, dass die Webseite nicht in einer anderen Webseite eingebettet wird. Es gibt verschiedene Werte:
DENY: Kein Rendering der Seite, wenn sie in einem frame oder iframe geladen wird
SAMEORIGIN: Rendering der Seite erfolgt nur, wenn der frame oder iframe innerhalb Ihrer Domain ist
ALLOW-FROM DOMAIN: Wird hierbei explizit eine Domain angegeben, werden keine anderen Inhalte von unbekannten Sourcen gerendert bzw. dargestellt.