X-Frame-Options setzen

Über den X-Frame-Options Header (RFC 7034) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. Clickjacking verhindern.

In nginx läßt sich das so setzen (innerhalb eines server-Blocks):

add_header X-Frame-Options "DENY";

Danach nginx reloaden/neu starten.

Folgende Optionen sind möglich:

DENY ⇐ Es ist keinerlei Einbettung per Frame erlaubt, egal welche Seite es versucht.
SAMEORIGIN ⇐ Es ist nur die Einbettung in Seiten vom gleichen Ursprung erlaubt.
ALLOW-FROM ⇐ Es ist nur die Einbettung in Seiten vom angebenen Ursprung erlaubt.

aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.

Diskussion

Voller Name:

E-Mail:

Webseite:

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:

Bitte übertragen Sie die Buchstaben in das Eingabefeld. M I H Y L Dieses Feld bitte leer lassen

Kommentare abonnieren

Werkzeuge

Navigationsmenüs und Suche

Wikiübergreifende Schnellsuche

Seitenstatus

Standortanzeiger

Seiten-Werkzeuge

Metainformationen zur Seite

X-Frame-Options setzen

Diskussion