X-Frame-Options-Schwachstelle/DE/Solution Tips
Version vom 29. März 2018, 17:39 Uhr von Siwebot (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Im HTTP-Header entsprechend den Bedürfnissen setzen. Die '''X-Frame-Options''' im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender […“)
Im HTTP-Header entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.
Beispielcode einer .htaccess auf einem Apache Webserver.
--snip
<IfModule mod_headers.c> # Avoid Clickjacking, Seite darf nur in frame oder iframe geöffnet werden auf eigener Domain '''Header append X-Frame-Options „SAMEORIGIN </IfModule>
—snap
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen. (.htaccess-Beispiel)