X-Frame-Options-Schwachstelle/DE/Solution Tips

Aus Siwecos
Version vom 29. März 2018, 17:39 Uhr von Siwebot (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Im HTTP-Header entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender […“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Im HTTP-Header entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.

Beispielcode einer .htaccess auf einem Apache Webserver.

--snip 

<IfModule mod_headers.c>
   # Avoid Clickjacking, Seite darf nur in frame oder iframe geöffnet werden auf eigener Domain
   '''Header append X-Frame-Options „SAMEORIGIN
</IfModule>

—snap

Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen. (.htaccess-Beispiel)

Abgerufen von „https://www.siwecos.de/wiki/index.php?title=X-Frame-Options-Schwachstelle/DE/Solution_Tips&oldid=5759