X-Frame-Options Header gegen Clickjacking

Wir als Webhosting-Provider verhindern, dass Ihre Webseite in einem Frame (iframe eingeschlossen) auf fremden Domains dargestellt werden kann. Dazu überprüft der Browser, ob auf der eingebundenen Seite der HTTP-Header X-Frame-Options existiert. Bei uns ist dieser standardmäßig und global wie folgt eingestellt:

Header set X-FRAME-OPTIONS: SAMEORIGIN

Diese Einstellung erlaubt die Einbettung in einem Frame nur dann, wenn das Protokoll der Webseite (http:// oder https://) und die (Sub)Domain der einbettenden und der eingebetteten Seite gleich ist.

Gleichzeitig wird durch diese Einstellung Clickjacking unterbunden. Clickjacking ist eine Technik, bei der ein Hacker die Darstellung einer Internetseite überlagert und deren Nutzer dazu veranlasst, scheinbar harmlose Mausklicks oder andere potentiell schädliche Aktionen durchzuführen.

Wie ersetze ich den voreingestellten HTTP-Header?

Es genügt, eine .htaccess-Datei Im Stammverzeichnis mit folgendem Inhalt anzulegen oder eine vorhandene .htaccess-Datei mit einer der folgenden Zeilen zu ergänzen:

Header set X-FRAME-OPTIONS: GOFORIT

oder

Header set X-Frame-Options "ALLOW-FROM https://www.meinedomain.de"

Die letzte Einstellungsmöglichkeit gestattet das Einbetten ausschließlich von einem bestimmten Ziel aus (hier z.B. von https://www.meinedomain.de). Damit teilt der Server dem Browser mit, von welcher Stelle aus eine Seite in einem iframe eingebettet werden darf.