X-Frame-Options
X-Frame-Options ist ein HTTP-Security-Header, der verhindert, dass eine Website in einem Frame oder iFrame einer fremden Seite eingebettet wird. Der Header schützt vor Clickjacking — einem Angriff, bei dem Besucher durch unsichtbare Overlays zu ungewollten Aktionen verleitet werden.
Bei einem Clickjacking-Angriff bettet der Angreifer die Zielwebsite in einem unsichtbaren iFrame ein und legt eigene Buttons oder Links darüber. Der Besucher glaubt, auf der Angreifer-Seite zu klicken, löst aber tatsächlich Aktionen auf der eingebetteten Website aus — etwa eine Kontoänderung oder Bestätigung.
Mögliche Werte
DENY— Die Seite darf in keinem Frame angezeigt werdenSAMEORIGIN— Einbettung nur von der gleichen Domain erlaubt
CSP frame-ancestors als Alternative
Die modernere Alternative ist die CSP-Direktive frame-ancestors. Sie bietet mehr Flexibilität: frame-ancestors 'self' trusted.de erlaubt die Einbettung nur von der eigenen Domain und einer vertrauenswürdigen Domain. X-Frame-Options wird weiterhin empfohlen, da nicht alle Browser CSP vollständig unterstützen.
Was prüft exatics?
Unser Audit prüft, ob X-Frame-Options oder CSP frame-ancestors gesetzt ist. Fehlt beides, wird der fehlende Clickjacking-Schutz als Sicherheitsmangel bewertet.
Häufige Fragen zu X-Frame-Options
Brauche ich X-Frame-Options, wenn ich CSP frame-ancestors setze?
Idealerweise beides. CSP frame-ancestors ist die modernere Variante, aber X-Frame-Options wird von älteren Browsern unterstützt. Die Browser-Kompatibilität beider Header zusammen stellt sicher, dass der Clickjacking-Schutz überall greift.