Kennisbank
1.000 veelgestelde vragen, 500 tutorials en uitlegvideo's. Hier vind je alleen maar oplossingen!
Het instellen van de "X-Frame-Options"-header
Deze handleiding beschrijft de header "X-Frame-Options", die wordt gebruikt om uw website te beschermen tegen clickjacking-aanvallen.
De waarde ALLOW-FROM is verouderd. Om een specifieke domeinnaam toe te staan, wordt aanbevolen om de header Content-Security-Policy (CSP) te gebruiken met de richtlijn frame-ancestors.
Werte für den Header X-Frame-Options
Deze header geeft aan de browser aan of deze uw pagina mag weergeven in een <frame> of <iframe>.
- "DENY" : Volledig verbod. De website mag in geen enkel frame worden geladen, zelfs niet van uw eigen website.
- "SAMEORIGIN" : Staat het weergeven in een iframe alleen toe als de bovenliggende website dezelfde domeinnaam heeft als de inhoud.
Header implementeren
Via het bestand .htaccess (aanbevolen voor de hele website):
Header set X-Frame-Options "SAMEORIGIN"Of via PHP (voor een specifieke pagina):
<?php
header('X-Frame-Options: SAMEORIGIN');
?>Het moderne alternatief: Content-Security-Policy (CSP)
Als u een specifieke externe website (bijvoorbeeld domain.xyz) moet toestaan om uw inhoud te integreren, gebruikt u dan niet langer X-Frame-Options, maar de volgende header in uw .htaccess:
Header set Content-Security-Policy "frame-ancestors 'self' https://domain.xyz"Deze regel staat uw eigen website ('self') en domain.xyz toe om u in een iframe weer te geven.
Link naar deze veelgestelde vragen: https://faq.infomaniak.com/360
Is deze veelgestelde vragenlijst nuttig geweest?