Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
X-Frame-Options header
Hinweis:Für umfassendere Optionen als die durch diesen Header angebotenen, siehe dieframe-ancestors Direktive in einemContent-Security-Policy Header.
Der HTTPX-Frame-OptionsAntwort-Header kann verwendet werden um anzuzeigen, ob ein Browser das Dokument in einem<frame>,<iframe>,<embed> oder<object> rendern darf. Websites können dies nutzen, umClickjacking Angriffe und einigeCross-Site-Leaks zu vermeiden, indem sie sicherstellen, dass ihre Inhalte nicht in andere Sites eingebettet werden.
Wird dieser Header nicht gesendet und hat die Website keine anderen Mechanismen zur Einschränkung des Einbettens implementiert (wie dieframe-ancestors CSP-Direktive), wird der Browser anderen Sites erlauben, dieses Dokument einzubetten.
| Header-Typ | Antwort-Header |
|---|
Syntax
X-Frame-Options: DENYX-Frame-Options: SAMEORIGINDirektiven
DENYDas Dokument kann in keinem Frame geladen werden, unabhängig von der Herkunft (sowohl das Einbetten aus gleicher als auch aus fremder Herkunft wird blockiert).
SAMEORIGINDas Dokument kann nur eingebettet werden, wenn alle Vorfahren-Frames die gleicheHerkunft wie die Seite selbst haben.
ALLOW-FROM originVeraltetDies ist eine veraltete Direktive. Moderne Browser, die Antwort-Header mit dieser Direktive vorfinden, werden den Header vollständig ignorieren. Der
Content-Security-PolicyHTTP-Header hat eineframe-ancestorsDirektive, die stattdessen verwendet werden sollte.
Beispiele
Warnung:Das Setzen vonX-Frame-Options innerhalb des<meta> Elements (z.B.<meta http-equiv="X-Frame-Options" content="deny">) hat keine Wirkung.X-Frame-Options wird nur über HTTP-Header durchgesetzt, wie in den untenstehenden Beispielen angezeigt.
Apache konfigurieren
Um Apache so zu konfigurieren, dass es denX-Frame-Options Header für alle Seiten sendet, fügen Sie dies zur Konfiguration Ihrer Website hinzu:
Header always set X-Frame-Options "SAMEORIGIN"Um Apache so zu konfigurieren, dassX-Frame-Options aufDENY gesetzt wird, fügen Sie dies zur Konfiguration Ihrer Website hinzu:
Header set X-Frame-Options "DENY"Nginx konfigurieren
Um Nginx so zu konfigurieren, dass derX-Frame-Options Header gesendet wird, fügen Sie dies entweder der http-, server-, oder location-Konfiguration hinzu:
add_header X-Frame-Options SAMEORIGIN always;Sie können denX-Frame-Options Header aufDENY setzen, indem Sie:
add_header X-Frame-Options DENY always;IIS konfigurieren
Um IIS so zu konfigurieren, dass derX-Frame-Options Header gesendet wird, fügen Sie dies zu IhrerWeb.config Datei hinzu:
<system.webServer> … <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> …</system.webServer>Für weitere Informationen, siehe denMicrosoft Support-Artikel zur Einstellung dieser Konfiguration über die IIS-Manager Benutzeroberfläche.
HAProxy konfigurieren
Um HAProxy so zu konfigurieren, dass derX-Frame-Options Header gesendet wird, fügen Sie dies Ihrer Frontend-, Listen- oder Backend-Konfiguration hinzu:
rspadd X-Frame-Options:\ SAMEORIGIN
Alternativ, in neueren Versionen:
http-response set-header X-Frame-Options SAMEORIGIN
Express konfigurieren
UmX-Frame-Options aufSAMEORIGIN mithilfe vonHelmet zu setzen, fügen Sie Folgendes zu Ihrer Server-Konfiguration hinzu:
import helmet from "helmet";const app = express();app.use( helmet({ xFrameOptions: { action: "sameorigin" }, }),);Spezifikationen
| Specification |
|---|
| HTML # the-x-frame-options-header |