Home » Security Headers » CSP Frame Ancestors und X-Frame-Options

HTTP headers: X-Frame-Options


HTTP-Security-Headers X-Frame-Options

HTTP headers: X-Frame-Options

Warum sind Frame-Ancestors- und X-Frame-Options-Sicherheitsheader erforderlich?

In der heutigen Welt ist Sicherheit für Website-Besitzer und Administratoren ein Top-Anliegen. Eine der größten Bedrohungen für die Sicherheit von Websites ist Clickjacking, auch als UI-Umleitungangriff bekannt. Hierbei handelt es sich um eine Technik, bei der eine bösartige Website ihren eigenen Inhalt über eine legitime Website legt und den Benutzer dazu verleitet, auf Schaltflächen oder Links zu klicken, die sie nicht beabsichtigen.

Ihre Website kann standardmäßig überall eingebettet werden. Das bedeutet, dass Angreifer Ihre Website ins Visier nehmen können, wenn sie die Möglichkeit, eingebettet zu werden, nicht durch X-Frame Headers eingeschränkt haben.

So einfach können Sie Ihren Internetauftritt vor Clickjacking-Angriffen schützen:

Um dieser Bedrohung entgegenzuwirken, können Website-Administratoren den Header X-Frame-Options oder noch besser, das CSP frame-ancestors verwenden. Dies ist der wichtigste Schutzmechanismus gegen externes Framing und besser als X-Frame-Options auf vielfältige Weise:

CSP Frame Ancestors kann im Berichtsmodus ausgeführt werden. Dies ist wichtig, wenn Sie Schutzmaßnahmen auf Produktivsystemen sicher einführen möchten, ohne Regressionen zu verursachen.

CSP frame-ancestors ist flexibler und erlaubt benutzerdefinierte Domains:

PHP
Content-Security-Policy: frame-ancestors 'self' mysubdomain.mysite.com https://frame.partner-site.com;
Content-Security-Policy: frame-src 'self' https://www.paypal.com https://google360.de;
header('X-Frame-Options: sameorigin');

Was genau sind Clickjacking-Angriffe?

Clickjacking ist ein Angriff, bei dem ein Angreifer ein transparentes iframe in einem Fenster verwendet, um einen Benutzer dazu zu bringen, auf eine CTA wie eine Schaltfläche oder einen Link zu einem anderen Server zu klicken, auf dem er ein identisch aussehendes Fenster hat. Der Angreifer hijackt sozusagen die für den ursprünglichen Server bestimmten Klicks und sendet sie an den anderen Server. Dies ist ein Angriff sowohl auf den Besucher selbst als auch auf den Server.

Hier sind ein paar mögliche bekannte Exploits oder Verwendungen für Clickjacking:

  1. Benutzer dazu bringen, ihre Informationen im sozialen Netzwerk öffentlich zu machen.
  2. Teilen oder Liken von Links auf Facebook.
  3. Klicken auf Google Adsense-Anzeigen zur Generierung von Pay-per-Click-Einnahmen.
  4. Benutzer dazu bringen, jemandem auf Twitter oder Facebook zu folgen.
  5. Herunterladen und Ausführen von Malware (bösartiger Software), die einem entfernten Angreifer die Kontrolle über andere Computer ermöglicht.

Der Schutz gegen Clickjacking ist einfach umzusetzen: Fügen Sie die Header X-Frame-Options und das CSP frame-ancestors / frame-src zur functions.php hinzu.

 

GetSafe 360° Box

360° Website SecurityRundum-Absicherung

  • HTTP-Sicherheits-Header
  • Inhaltsicherheitsrichtlinie (CSP)
  • XSS-Absicherung

Ihr Internet-Auftritt ist nur so sicher wie die schwächste Stelle.

Schlüsselfertige Absicherung:

Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 289,- € jetzt zum Vorzugspreis von 149,- €

Jetzt Starten »