Vielleicht fällt es Ihnen nach einem Penetrationstest auf oder weil Sie verhindern wollen, dass jemand Ihre Website kapert oder mit Werbung überlagert. In jedem Fall sollten Sie den Header X-Frame-Options immer in die Antworten auf Ihre Website aufnehmen, um die Sicherheit Ihrer Website zu verbessern und den Besuchern einen gewissen Schutz zu bieten.
Diese Kopfzeile legt für einen Browser fest, wie Ihre Website in einem Frame (oder iFrame) angezeigt werden kann. Ein Frame ermöglicht es einer Webseite, den Inhalt einer anderen Website darin anzuzeigen (oft auf eine Weise, die für den Betrachter nicht offensichtlich ist). Sie denken vielleicht, dass dies kein Problem ist, schließlich handelt es sich um eine öffentliche Webseite, aber so einfach ist es nicht. Was wäre, wenn jemand eine gängige falsche Schreibweise Ihres Domainnamens registriert hat und Ihre Website mithilfe eines iFrames darauf anzeigt? Es könnte Werbung eingeblendet oder eine gefälschte Anmeldeseite angezeigt werden, und alles sähe völlig authentisch aus, denn es wäre ja der Inhalt Ihrer Website – nur eben von einem anderen Ort aus. Es gibt keinen schnelleren Weg, das Vertrauen der Kunden zu verlieren, als wenn ein böswilliger Akteur diese Funktion zu seinem Vorteil missbraucht. Es gibt echte Verwendungszwecke für Frames, aber sehr wahrscheinlich keinen, auf den Sie sich verlassen.
Das Setzen der Kopfzeile X-Frame-Options für alle Ihre Antworten ist eine einfache Methode, um Probleme dieser Art zu vermeiden. Es gibt drei mögliche Werte: DENY, SAMEORIGIN und ALLOWFROM;
-DENY verhindert die Anzeige des Inhalts Ihrer Website in einem Frame, auch auf einer anderen Seite Ihrer Website. Das ist oft in Ordnung, hat aber die Angewohnheit, Java-basierte Anwendungen zu zerstören.
-SAMEORIGIN ist die am häufigsten verwendete Einstellung und bedeutet, dass Seiten auf Ihrer Website in Frames eingebunden werden können, allerdings nur auf anderen Seiten innerhalb derselben Website.
-ALLOWFROM ist eher feinkörnig und wird selten verwendet – wenn Sie es brauchen, wissen Sie wahrscheinlich, was Sie tun müssen – wenn nicht, rufen Sie uns an.
Wie wir immer wieder betonen, besteht ein großer Vorteil der Verwendung eines Load Balancers darin, dass wir nur an einer einzigen Stelle Änderungen vornehmen müssen, um diesen Header auf allen unseren Servern einzusetzen. Wir müssen uns nicht auf Entwickler oder Apache-Neukonfigurationen verlassen. Importieren Sie einfach eine jetPACK-Konfigurationsvorlage und weisen Sie den virtuellen Diensten, die Sie schützen möchten, eine flightPATH-Verkehrsregel zu.
flightPATH ist eine dynamische, ereignisbasierte Regel-Engine, die von edgeNEXUS entwickelt wurde, um IP-, HTTP- und HTTPS-Verkehr mit Lastverteilung intelligent zu manipulieren und zu routen. Sie ist hochgradig konfigurierbar und leistungsstark, aber dennoch sehr einfach zu bedienen.
Die Regel fügt die Kopfzeile nur hinzu, wenn sie nicht vorhanden ist. Sie funktioniert also auch dann, wenn unsere Webserver sie bereits einfügen oder nur für bestimmte Seiten einfügen. Diese Regel sollte Teil Ihrer Standardkonfiguration des Virtuellen Dienstes sein – Sie haben nichts zu verlieren, egal wie die Seite aussieht, obwohl ein Test natürlich immer empfehlenswert ist. Sie können das jetPACK auf der edgeNEXUS Github-Seite hier herunterladen.
Dies ist eine der vielen flightPATH-Regeln, die wir entwickelt haben und die Sie einsetzen können, um die Sicherheit Ihrer Website und ihrer Benutzer zu verbessern. Weitere Informationen über sicherheitsrelevante HTTP-Header finden Sie in diesen Artikeln:
- Vereinfachung der Sicherheits-HTTP-Header mit edgeNEXUS Traffic Management: X-Content-Type-Options
- So sichern Sie den HTTP-Datenverkehr und schützen die Benutzer mit dem HTTP Strict Transport Security Header
