1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
Implementierung des Headers "X-Frame-Options"
Diese Anleitung beschreibt den Header "X-Frame-Options", der verwendet werden kann, um sich insbesondere vor Angriffen wie Clickjacking zu schützen. Beachten Sie, dass der Header "X-Frame-Options" möglicherweise nicht von allen Webbrowsern unterstützt wird. Es wird daher empfohlen, ihn mit anderen Methoden zu kombinieren, um die Sicherheit Ihrer Website zu verstärken.
Mögliche Werte für den Header
Der Header "X-Frame-Options" kann festgelegt werden, um zu verhindern, dass eine Website in einem Frame oder einer iframe geladen wird. Es gibt drei mögliche Werte für diesen Header:
- "DENY": die Website kann nicht in einem Frame oder einer iframe geladen werden
- "SAMEORIGIN": die Website kann nur in einem Frame oder einer iframe geladen werden, wenn die Quelle des Frames oder der iframe zur gleichen Domain wie die Website gehört
- "ALLOW-FROM uri": die Website kann nur in einem Rahmen oder einem iframe von der angegebenen URI geladen werden
Sie können diesen Header definieren, indem Sie die folgenden Zeilen zu Ihrer .htaccess-Datei hinzufügen:
Header set X-Frame-Options "DENY"
oder indem Sie die PHP-Funktion header() verwenden, da diese in FPM ausgeführt wird, genauso wie bei der Deaktivierung des HSTS zum Beispiel:
header('X-Frame-Options: DENY');
Ersetzen Sie "DENY" durch den gewünschten Wert für diesen Header.