Dieser Leitfaden beschreibt den Header "X-Frame-Options", der verwendet wird, um Ihre Website vor Clickjacking-Angriffen zu schützen.

Werte für den Header X-Frame-Options

Dieser Header weist den Browser an, ob er das Anzeigen Ihrer Seite in einem <frame> oder <iframe> zulassen soll.

1. "DENY" : Vollständiges Verbot. Die Website kann in keinem Rahmen geladen werden, auch nicht von Ihrer eigenen Website.
2. "SAMEORIGIN" : Erlaubt das Anzeigen im iframe nur, wenn die Eltern-Website denselben Domain wie der Inhalt hat.

Header implementieren

Über die Datei .htaccess (empfohlen für die gesamte Website):

Header set X-Frame-Options "SAMEORIGIN"

Oder über PHP (für eine spezifische Seite):

<?php
header('X-Frame-Options: SAMEORIGIN');
?>

Die moderne Alternative: Content-Security-Policy (CSP)

Wenn Sie eine bestimmte externe Website (z.B. domain.xyz) zulassen müssen, um Ihren Inhalt zu integrieren, verwenden Sie nicht mehr X-Frame-Options, sondern den folgenden Header in Ihrer .htaccess:

Header set Content-Security-Policy "frame-ancestors 'self' https://domain.xyz"

Diese Regel erlaubt Ihrer eigenen Website ('self') sowie domain.xyz, Sie in einem iframe anzuzeigen.