{"id":53002,"date":"2025-06-20T13:04:19","date_gmt":"2025-06-20T13:04:19","guid":{"rendered":"https:\/\/www.edgenexus.io\/ein-http-sicherheits-header-zur-bekaempfung-von-clickjacking-wie-sie-die-sicherheit-ihrer-website-mit-dem-x-frame-options-header-verbessern-koennen\/"},"modified":"2025-06-20T13:04:19","modified_gmt":"2025-06-20T13:04:19","slug":"ein-http-sicherheits-header-zur-bekaempfung-von-clickjacking-wie-sie-die-sicherheit-ihrer-website-mit-dem-x-frame-options-header-verbessern-koennen","status":"publish","type":"post","link":"https:\/\/www.edgenexus.io\/de\/blog-de\/ein-http-sicherheits-header-zur-bekaempfung-von-clickjacking-wie-sie-die-sicherheit-ihrer-website-mit-dem-x-frame-options-header-verbessern-koennen\/","title":{"rendered":"Ein HTTP-Sicherheits-Header zur Bek\u00e4mpfung von \u201eClickjacking\u201c – Wie Sie die Sicherheit Ihrer Website mit dem X-Frame Options Header verbessern k\u00f6nnen"},"content":{"rendered":"

 <\/p>\n

Vielleicht f\u00e4llt es Ihnen nach einem Penetrationstest auf oder weil Sie verhindern wollen, dass jemand Ihre Website kapert oder mit Werbung \u00fcberlagert. In jedem Fall sollten Sie den Header X-Frame-Options immer in die Antworten auf Ihre Website aufnehmen, um die Sicherheit Ihrer Website zu verbessern und den Besuchern einen gewissen Schutz zu bieten. <\/p>\n

Diese Kopfzeile legt f\u00fcr einen Browser fest, wie Ihre Website in einem Frame (oder iFrame) angezeigt werden kann. Ein Frame erm\u00f6glicht es einer Webseite, den Inhalt einer anderen Website darin anzuzeigen (oft auf eine Weise, die f\u00fcr den Betrachter nicht offensichtlich ist). Sie denken vielleicht, dass dies kein Problem ist, schlie\u00dflich handelt es sich um eine \u00f6ffentliche Webseite, aber so einfach ist es nicht. Was w\u00e4re, wenn jemand eine g\u00e4ngige falsche Schreibweise Ihres Domainnamens registriert hat und Ihre Website mithilfe eines iFrames darauf anzeigt? Es k\u00f6nnte Werbung eingeblendet oder eine gef\u00e4lschte Anmeldeseite angezeigt werden, und alles s\u00e4he v\u00f6llig authentisch aus, denn es w\u00e4re ja der Inhalt Ihrer Website – nur eben von einem anderen Ort aus. Es gibt keinen schnelleren Weg, das Vertrauen der Kunden zu verlieren, als wenn ein b\u00f6swilliger Akteur diese Funktion zu seinem Vorteil missbraucht. Es gibt echte Verwendungszwecke f\u00fcr Frames, aber sehr wahrscheinlich keinen, auf den Sie sich verlassen. <\/p>\n

Das Setzen der Kopfzeile X-Frame-Options f\u00fcr alle Ihre Antworten ist eine einfache Methode, um Probleme dieser Art zu vermeiden. Es gibt drei m\u00f6gliche Werte: DENY, SAMEORIGIN und ALLOWFROM; <\/p>\n

-DENY verhindert die Anzeige des Inhalts Ihrer Website in einem Frame, auch auf einer anderen Seite Ihrer Website. Das ist oft in Ordnung, hat aber die Angewohnheit, Java-basierte Anwendungen zu zerst\u00f6ren. <\/p>\n

-SAMEORIGIN ist die am h\u00e4ufigsten verwendete Einstellung und bedeutet, dass Seiten auf Ihrer Website in Frames eingebunden werden k\u00f6nnen, allerdings nur auf anderen Seiten innerhalb derselben Website.<\/p>\n

-ALLOWFROM ist eher feink\u00f6rnig und wird selten verwendet – wenn Sie es brauchen, wissen Sie wahrscheinlich, was Sie tun m\u00fcssen – wenn nicht, rufen Sie uns an.<\/p>\n

Wie wir immer wieder betonen, besteht ein gro\u00dfer Vorteil der Verwendung eines Load Balancers darin, dass wir nur an einer einzigen Stelle \u00c4nderungen vornehmen m\u00fcssen, um diesen Header auf allen unseren Servern einzusetzen. Wir m\u00fcssen uns nicht auf Entwickler oder Apache-Neukonfigurationen verlassen. Importieren Sie einfach eine jetPACK-Konfigurationsvorlage und weisen Sie den virtuellen Diensten, die Sie sch\u00fctzen m\u00f6chten, eine flightPATH-Verkehrsregel zu. <\/p>\n

flightPATH ist eine dynamische, ereignisbasierte Regel-Engine, die von edgeNEXUS entwickelt wurde, um IP-, HTTP- und HTTPS-Verkehr mit Lastverteilung intelligent zu manipulieren und zu routen. Sie ist hochgradig konfigurierbar und leistungsstark, aber dennoch sehr einfach zu bedienen. <\/p>\n

Die Regel f\u00fcgt die Kopfzeile nur hinzu, wenn sie nicht vorhanden ist. Sie funktioniert also auch dann, wenn unsere Webserver sie bereits einf\u00fcgen oder nur f\u00fcr bestimmte Seiten einf\u00fcgen. Diese Regel sollte Teil Ihrer Standardkonfiguration des Virtuellen Dienstes sein – Sie haben nichts zu verlieren, egal wie die Seite aussieht, obwohl ein Test nat\u00fcrlich immer empfehlenswert ist. Sie k\u00f6nnen das jetPACK auf der edgeNEXUS Github-Seite hier<\/a> herunterladen. <\/p>\n

Dies ist eine der vielen flightPATH-Regeln, die wir entwickelt haben und die Sie einsetzen k\u00f6nnen, um die Sicherheit Ihrer Website und ihrer Benutzer zu verbessern. Weitere Informationen \u00fcber sicherheitsrelevante HTTP-Header finden Sie in diesen Artikeln: <\/p>\n