Plattform für Internetsicherheit
Home » Security Headers » CSP Frame Ancestors und X-Frame-Options gegen Clickjacking -Angriffe

X-Frame-Options (XFO) Header (obsolet)

Die XFO Header-Funktion ist jetzt Teil der CSP

HTTP-Security-Headers X-Frame-Options

HTTP-Headers: Der X-Frame-Options wurde abgekündigt.

Beispiel für kombinierte X-Frame-Options-Header während dieser Übergangsphase

Implementieren Sie frame-ancestors in Ihrem CSP-Header:
Fügen Sie einen Content-Security-Policy-Header mit der frame-ancestors-Direktive in Ihre Serverkonfiguration ein.

Halten Sie den X-Frame-Options-Header während des Übergangs bei, um die Kompatibilität mit älteren Browsern zu gewährleisten.

Überwachen Sie das Verhalten Ihrer Website und die Protokolle, um sicherzustellen, dass es keine Probleme mit der Einbettung gibt. Phasen Sie den X-Frame-Options-Header allmählich aus, sobald Sie sich sicher sind, dass die CSP-Implementierung korrekt funktioniert.

Wie Sie beide Header während der Übergangszeit konfigurieren können, fügen Sie folgenden Code in Ihre .htaccess Datei ein:

.htaccess

<IfModule mod_headers.c>
    Header always set Content-Security-Policy "frame-ancestors 'self';"
    Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>

Der X-Frame-Options-Header wird zum CSP-Direktiv

Angesichts der rasanten Zunahme von Online-Bedrohungen ist der Schutz Ihrer Website nicht nur eine Priorität, sondern eine Pflicht. Zu den wichtigsten Tools, die Ihnen zur Verfügung stehen, gehören HTTP-Sicherheitsheader, und im Mittelpunkt dieser Verteidigungsstrategie steht der X-Frame-Options-Header.

Die Einrichtung des X-Frame-Options-Headers ist ein unkomplizierter Vorgang, der den Schutz Ihrer Website gegen gängige Webangriffe wie Clickjacking erheblich stärkt. Dieser Sicherheitsheader teilt Browsern mit, ob Ihre Inhalte auf anderen Sites in Frames angezeigt werden können, die dann für böswillige Zwecke verwendet werden könnten.

Der X-Frame-Options-Header ist eine Sicherheitsmaßnahme für WordPress-Sites, die Clickjacking-Angriffe verhindern hilft, indem er steuert, ob Ihre Site auf anderen Webseiten angezeigt oder gerahmt werden kann. Sie können ihn entweder auf bestimmten externen Sites zulassen, auf Sites innerhalb derselben Domäne zulassen oder komplett verweigern.

Übergang von X-Frame-Options zu frame-ancestors

Der X-Frame-Options-Header wurde veraltet und durch die frame-ancestors-Direktive der Content-Security-Policy (CSP) Level 2 Spezifikation ersetzt. Diese Änderung wird empfohlen, da CSP eine flexiblere und robustere Methode zur Kontrolle bietet, wie und wo Ressourcen eingebettet werden können.

Der Wechsel von X-Frame-Options zu frame-ancestors verbessert die Sicherheit und Flexibilität bei der Definition von Einbettungsrichtlinien. Wenn Sie diese Schritte befolgen, wird ein reibungsloser Übergang gewährleistet, während der Schutz vor Clickjacking-Angriffen aufrechterhalten wird.

X-Frame-Options

Der X-Frame-Options-Header wurde entwickelt, um Clickjacking-Angriffe zu verhindern, indem kontrolliert wird, ob eine Webseite in einem Frame oder Iframe angezeigt werden darf. Er unterstützt drei Direktiven:

  • DENY: Verhindert, dass die Seite in einem Frame angezeigt wird, unabhängig von der Seite, die dies versucht.
  • SAMEORIGIN: Erlaubt die Anzeige der Seite in einem Frame auf der gleichen Herkunft wie die Seite selbst.
  • ALLOW-FROM uri: Erlaubt die Anzeige der Seite nur in einem Frame auf der angegebenen Herkunft (nicht weit verbreitet unterstützt).

frame-ancestors Direktive

Die frame-ancestors-Direktive in CSP bietet eine detailliertere Kontrolle im Vergleich zu X-Frame-Options. Sie gibt gültige Quellen an, die den Inhalt in einem Frame einbetten dürfen. Zum Beispiel:

  • frame-ancestors 'self': Erlaubt nur das Framing durch die gleiche Seite.
  • frame-ancestors 'none': Verhindert das Framing von jeder Quelle.
  • frame-ancestors example.com: Erlaubt das Framing nur von example.com.

Was genau sind Clickjacking-Angriffe?

Clickjacking ist ein Angriff, bei dem ein Angreifer ein transparentes iframe in einem Fenster verwendet, um einen Benutzer dazu zu bringen, auf eine CTA wie eine Schaltfläche oder einen Link zu einem anderen Server zu klicken, auf dem er ein identisch aussehendes Fenster hat. Der Angreifer hijackt sozusagen die für den ursprünglichen Server bestimmten Klicks und sendet sie an den anderen Server. Dies ist ein Angriff sowohl auf den Besucher selbst als auch auf den Server.

Hier sind ein paar mögliche bekannte Exploits oder Verwendungen für Clickjacking:

  1. Benutzer dazu bringen, ihre Informationen im sozialen Netzwerk öffentlich zu machen.
  2. Teilen oder Liken von Links auf Facebook.
  3. Klicken auf Google Adsense-Anzeigen zur Generierung von Pay-per-Click-Einnahmen.
  4. Benutzer dazu bringen, jemandem auf Twitter oder Facebook zu folgen.
  5. Herunterladen und Ausführen von Malware (bösartiger Software), die einem entfernten Angreifer die Kontrolle über andere Computer ermöglicht.

 

GetSafe 360° Box

360° Website OptimierungWordPress-TuneUp

Sichern der Administration und Login-Seite
Auslesen von Benutzernamen verhindern
Inhaltsicherheitsrichtlinie (CSP)
Blockieren verdächtiger User-Agents
SQL-Injections und XSS-Absicherung
HTTP-Sicherheits-Header

Normalerweise 145,-
Zeitlich befristetes Angebot zum Sonderpreis für nur

95,-
100% Geld-zurück-Garantie – keine Folgekosten.
Preis versteht sich als Nettopreis zuzüglich Mehrwertsteuer.

Jetzt Starten »