# X-Frame-Options setzen

Über den X-Frame-Options Header ([RFC 7034](https://tools.ietf.org/html/rfc7034 "https://tools.ietf.org/html/rfc7034")) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. [Clickjacking](https://de.wikipedia.org/wiki/Clickjacking "https://de.wikipedia.org/wiki/Clickjacking") verhindern.

In nginx läßt sich das so setzen (innerhalb eines server-Blocks):

```code
add_header X-Frame-Options "DENY";
```

Danach nginx reloaden/neu starten.

Folgende Optionen sind möglich:

- DENY ⇐ Es ist keinerlei Einbettung per Frame erlaubt, egal welche Seite es versucht.
- SAMEORIGIN ⇐ Es ist nur die Einbettung in Seiten vom gleichen Ursprung erlaubt.
- ALLOW-FROM ⇐ Es ist nur die Einbettung in Seiten vom angebenen Ursprung erlaubt.

<p class="callout info">aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.</p>