X-Frame-Options setzen
Über den X-Frame-Options Header (RFC 7034) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. Clickjacking verhindern.
Im Apache läßt sich das so setzen (vorher „a2enmod headers
“):
Header always set X-Frame-Options DENY
Danach den Apache reloaden/neu starten.
Folgende Optionen sind möglich:
- DENY ⇐ Es ist keinerlei Einbettung per Frame erlaubt, egal welche Seite es versucht.
- SAMEORIGIN ⇐ Es ist nur die Einbettung in Seiten vom gleichen Ursprung erlaubt.
- ALLOW-FROM ⇐ Es ist nur die Einbettung in Seiten vom angebenen Ursprung erlaubt.
aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.