X-Frame-Options-Schwachstelle/DE/Solution Tips: Unterschied zwischen den Versionen
Petra (Diskussion | Beiträge) |
|||
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | Im [[Header|HTTP-Header]] entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im [[HTTP]] Header kann verwendet werden, um zu bestimmen, ob ein aufrufender [[Browser]] die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. [[Clickjacking|Clickjacking-Angriffe]] abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird. | + | Wenn gemeldet wurde, dass im [[Header/DE|HTTP-Header]] die X-Frame Optionen nicht gesetzt sind, ist Ihre Webseite nicht ausreichend gegen [[Clickjacking|Clickjacking-Angriffe]] geschützt. |
+ | |||
+ | Im [[Header/DE|HTTP-Header]] X-Frame Optionen entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im [[HTTP]] Header kann verwendet werden, um zu bestimmen, ob ein aufrufender [[Browser]] die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. [[Clickjacking|Clickjacking-Angriffe]] abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird. | ||
Mit dem HTTP-Header Befehl '''X-Frame-Options''' können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden: | Mit dem HTTP-Header Befehl '''X-Frame-Options''' können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden: | ||
Zeile 5: | Zeile 7: | ||
Header always append X-Frame-Options DENY | Header always append X-Frame-Options DENY | ||
− | + | Header always append X-Frame-Options DENY | |
− | |||
− | Header always append X-Frame-Options DENY | ||
− | |||
− | |||
Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen: | Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen: | ||
− | + | Header always append X-Frame-Options SAMEORIGIN | |
− | |||
− | Header always append X-Frame-Options SAMEORIGIN | ||
− | |||
− | |||
Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden: | Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden: | ||
− | + | Header always append X-Frame-Options ALLOW-FROM botfrei.de | |
− | |||
− | Header always append X-Frame-Options ALLOW-FROM botfrei.de | ||
− | |||
− | |||
− | |||
− | Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim ''' | + | Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim '''Header Scanner''' zu erzielen. |
([[Htaccess/DE|.htaccess-Beispiel]]) | ([[Htaccess/DE|.htaccess-Beispiel]]) |
Aktuelle Version vom 8. April 2019, 09:52 Uhr
Wenn gemeldet wurde, dass im HTTP-Header die X-Frame Optionen nicht gesetzt sind, ist Ihre Webseite nicht ausreichend gegen Clickjacking-Angriffe geschützt.
Im HTTP-Header X-Frame Optionen entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.
Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:
Header always append X-Frame-Options DENY
Header always append X-Frame-Options DENY
Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen:
Header always append X-Frame-Options SAMEORIGIN
Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:
Header always append X-Frame-Options ALLOW-FROM botfrei.de
Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)