# X-Frame-Options setzen Über den X-Frame-Options Header ([RFC 7034](https://tools.ietf.org/html/rfc7034 "https://tools.ietf.org/html/rfc7034")) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. [Clickjacking](https://de.wikipedia.org/wiki/Clickjacking "https://de.wikipedia.org/wiki/Clickjacking") verhindern. Im Apache läßt sich das so setzen (vorher „`a2enmod headers`“): ```code Header always set X-Frame-Options DENY ``` Danach den Apache reloaden/neu starten. Folgende Optionen sind möglich: - DENY ⇐ Es ist keinerlei Einbettung per Frame erlaubt, egal welche Seite es versucht. - SAMEORIGIN ⇐ Es ist nur die Einbettung in Seiten vom gleichen Ursprung erlaubt. - ALLOW-FROM ⇐ Es ist nur die Einbettung in Seiten vom angebenen Ursprung erlaubt.

aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.