Zum Schutz vor Clickjacking-Angriffen kann durch senden des HTTP-Headers X-Frame-Options
das Einbetten der eigene Webseite in andere Webseiten beschränkt werden. Dies bezieht sich auf das Einbetten in <frame>
, <iframe>
und <object>
-Elementen.
Der folgende X-Frame-Options
-Header erlaubt das Einbetten nur innerhalb derselben Domain:
X-Frame-Options: SAMEORIGIN
Der Wert DENY
verbietet jegliches Einbetten:
X-Frame-Options: DENY
Beschränkung auf eine konkrete Domain
Die Angabe ALLOW-FROM
dient der Beschränkung des Einbettens auf eine konkrete Domain. In diesem Fall muss die erlaubte Domain mit einem Protokoll (http(s)://) starten, gefolgt vom Domainnamen (mit mindestens einem "."), optional gefolgt von einem Port (z.B. "443").
ALLOW-FROM
wird nicht von allen Browsern unterstützt. Daher sollte die Angabe der Content-Security-Policy frame-ancestors
ergänzt werden. Beispiel:
X-Frame-Options: ALLOW-FROM https://example.com/
Content-Security-Policy: frame-ancestors 'self' https://example.com