X-Frame-Options-Schwachstelle/DE/Solution Tips: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
Zeile 28: Zeile 28:
  
  
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen.
+
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um beim '''HTTP-Security-Header-Scanner''' eine bessere Bewertung zu erhalten.
 
([[Htaccess/DE|.htaccess-Beispiel]])
 
([[Htaccess/DE|.htaccess-Beispiel]])

Version vom 1. Februar 2019, 08:36 Uhr

Im HTTP-Header entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.

Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:

Header always append X-Frame-Options DENY

--snip

Header always append X-Frame-Options DENY

—snap

Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen:

--snip

Header always append X-Frame-Options SAMEORIGIN

—snap

Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:

--snip

Header always append X-Frame-Options ALLOW-FROM botfrei.de

—snap


Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um beim HTTP-Security-Header-Scanner eine bessere Bewertung zu erhalten. (.htaccess-Beispiel)