X-Frame-Options-Schwachstelle/DE/Solution Tips: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Im HTTP-Header entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender […“) |
|||
Zeile 1: | Zeile 1: | ||
Im HTTP-Header entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im [[HTTP]] Header kann verwendet werden, um zu bestimmen, ob ein aufrufender [[Browser]] die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird. | Im HTTP-Header entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im [[HTTP]] Header kann verwendet werden, um zu bestimmen, ob ein aufrufender [[Browser]] die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird. | ||
− | + | Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden: | |
+ | |||
+ | Header always append X-Frame-Options DENY | ||
'''--snip''' | '''--snip''' | ||
<pre> | <pre> | ||
− | + | Header always append X-Frame-Options DENY | |
− | |||
− | |||
− | |||
</pre> | </pre> | ||
+ | '''—snap''' | ||
+ | |||
+ | Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen: | ||
+ | '''--snip''' | ||
+ | <pre> | ||
+ | Header always append X-Frame-Options SAMEORIGIN | ||
+ | </pre> | ||
'''—snap''' | '''—snap''' | ||
+ | |||
+ | Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden: | ||
+ | |||
+ | '''--snip''' | ||
+ | <pre> | ||
+ | Header always append X-Frame-Options ALLOW-FROM botfrei.de | ||
+ | </pre> | ||
+ | '''—snap''' | ||
+ | |||
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen. | Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen. | ||
− | ([ | + | ([[Htaccess|.htaccess-Beispiel]]) |
Version vom 23. April 2018, 08:09 Uhr
Im HTTP-Header entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.
Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:
Header always append X-Frame-Options DENY
--snip
Header always append X-Frame-Options DENY
—snap
Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen:
--snip
Header always append X-Frame-Options SAMEORIGIN
—snap
Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:
--snip
Header always append X-Frame-Options ALLOW-FROM botfrei.de
—snap
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen.
(.htaccess-Beispiel)