Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Navigation

Mein Blog magenbrot.net



Mail-, Web-, Domainhosting und vieles mehr durch OVTEC Völker IT.

linux:webserver:apache:x-frame-options_setzen

X-Frame-Options setzen

Über den X-Frame-Options Header (RFC 7034) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. Clickjacking verhindern.

Im Apache läßt sich das so setzen (vorher „a2enmod headers“):

Header always set X-Frame-Options DENY

Danach den Apache reloaden/neu starten.

Folgende Optionen sind möglich:

  • DENY ⇐ Es ist keinerlei Einbettung per Frame erlaubt, egal welche Seite es versucht.
  • SAMEORIGIN ⇐ Es ist nur die Einbettung in Seiten vom gleichen Ursprung erlaubt.
  • ALLOW-FROM ⇐ Es ist nur die Einbettung in Seiten vom angebenen Ursprung erlaubt.
aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.

Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
A V T A M
 
linux/webserver/apache/x-frame-options_setzen.txt · Zuletzt geändert: 02.06.2016 15:02 von wiki@magenbrot.net