X-Frame-Options setzen

Über den X-Frame-Options Header (RFC 7034) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. Clickjacking verhindern.

Im Apache läßt sich das so setzen (vorher „a2enmod headers“):

Header always set X-Frame-Options DENY

Danach den Apache reloaden/neu starten.

Folgende Optionen sind möglich:

aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.


Revision #1
Created 5 May 2021 07:44:16 by magenbrot
Updated 5 May 2021 07:45:02 by magenbrot