X-Frame-Options-Schwachstelle/DE: Unterschied zwischen den Versionen
Zeile 1: | Zeile 1: | ||
=== {{:{{PAGENAME}}/Headline}} === | === {{:{{PAGENAME}}/Headline}} === | ||
+ | |||
+ | Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise. | ||
{| class="wikitable" | {| class="wikitable" | ||
− | |''' | + | |'''Ergebnis positiv''' || {{:{{PAGENAME}}/Positive}} |
+ | |- | ||
+ | |'''Ergebnis negativ'''|| {{:{{PAGENAME}}/Negative}} | ||
|- | |- | ||
|'''Beschreibung'''|| {{:{{PAGENAME}}/Description}} | |'''Beschreibung'''|| {{:{{PAGENAME}}/Description}} |
Aktuelle Version vom 3. April 2019, 16:04 Uhr
Überprüfung der HTTP-Header X-Frame Optionen
Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.
Ergebnis positiv | Der Header ist korrekt gesetzt und verbessert den Schutz gegen Framing-Angriffe wie beispielsweise UI-Redressing bzw. Clickjacking. |
Ergebnis negativ | HTTP-Header X-Frame Optionen nicht gesetzt. |
Beschreibung | Das Setzen von X-Frame-Options hilft dabei, Angriffe über Framing-Mechanismen zu unterbinden. Dies gewährleistet bspw., dass Clickjacking-Angriffe größtenteils gemildert werden können. Darüber hinaus werden Downgrading-Angriffe wie etwa im Internet Explorer minimiert. |
Hintergrund | Ob einem Browser erlaubt wird, eine Seite in einem frame oder iframe darzustellen, legt dieser Headereintrag fest. Damit können sog. Clickjacking-Attacken vermieden werde, indem sichergestellt wird, dass die Webseite nicht in einer anderen Webseite eingebettet wird. Es gibt verschiedene Werte:
DENY: Kein Rendering der Seite, wenn sie in einem frame oder iframe geladen wird. |
Auswirkung | Verhindert z. B. Clickjacking-Angriffe. Einfach zu implementieren und keine weiteren Anpassungen auf der Website erforderlich. |
Lösung/Tipps | Wenn gemeldet wurde, dass im HTTP-Header die X-Frame Optionen nicht gesetzt sind, ist Ihre Webseite nicht ausreichend gegen Clickjacking-Angriffe geschützt.
Im HTTP-Header X-Frame Optionen entsprechend den Bedürfnissen setzen. Die X-Frame-Options im HTTP Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder bspw. <object> rendern bzw. einbetten darf. Webseiten können diesen Header verwenden, um u. a. Clickjacking-Angriffe abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird. Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden: Header always append X-Frame-Options DENY Header always append X-Frame-Options DENY Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen: Header always append X-Frame-Options SAMEORIGIN Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden: Header always append X-Frame-Options ALLOW-FROM botfrei.de Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel) |