Zum Schutz vor Clickjacking-Angriffen kann durch senden des HTTP-Headers X-Frame-Options das Einbetten der eigene Webseite in andere Webseiten beschränkt werden. Dies bezieht sich auf das Einbetten in <frame>, <iframe> und <object>-Elementen.
Der folgende X-Frame-Options-Header erlaubt das Einbetten nur innerhalb derselben Domain:
X-Frame-Options: SAMEORIGIN
Der Wert DENY verbietet jegliches Einbetten:
X-Frame-Options: DENY
Beschränkung auf eine konkrete Domain
Die Angabe ALLOW-FROM dient der Beschränkung des Einbettens auf eine konkrete Domain. In diesem Fall muss die erlaubte Domain mit einem Protokoll (http(s)://) starten, gefolgt vom Domainnamen (mit mindestens einem "."), optional gefolgt von einem Port (z.B. "443").
ALLOW-FROM wird nicht von allen Browsern unterstützt. Daher sollte die Angabe der Content-Security-Policy frame-ancestors ergänzt werden. Beispiel:
X-Frame-Options: ALLOW-FROM https://example.com/
Content-Security-Policy: frame-ancestors 'self' https://example.com
