Navigation
Mein Blog magenbrot.net
Mail-, Web-, Domainhosting und vieles mehr durch OVTEC Völker IT.
Wenn Dir diese Seite geholfen hat, kannst Du mir gerne ein (oder zwei) Bier ausgeben:
Benutzer-Werkzeuge
Seitenleiste
linux:webserver:nginx:x-frame-options_setzen
X-Frame-Options setzen
Über den X-Frame-Options Header (RFC 7034) kann eine Webseite den Browser anweisen, dass sie nicht (ggf. entfernt) über <frame> oder <iframe> geladen werden darf. Das soll sog. Clickjacking verhindern.
In nginx läßt sich das so setzen (innerhalb eines server-Blocks):
add_header X-Frame-Options "DENY";
Danach nginx reloaden/neu starten.
Folgende Optionen sind möglich:
- DENY ⇐ Es ist keinerlei Einbettung per Frame erlaubt, egal welche Seite es versucht.
- SAMEORIGIN ⇐ Es ist nur die Einbettung in Seiten vom gleichen Ursprung erlaubt.
- ALLOW-FROM ⇐ Es ist nur die Einbettung in Seiten vom angebenen Ursprung erlaubt.
aktuell wird ALLOW-FROM nur von Firefox und Internet Explorer / Edge unterstützt.
linux/webserver/nginx/x-frame-options_setzen.txt · Zuletzt geändert: 02.06.2016 14:51 von wiki@magenbrot.net
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
Diskussion