X-Frame-Options ist ein HTTP-Response-Header, der steuert, ob ein Browser deine Seite in einem <iframe>, <frame> oder <object> einbetten darf. Er ist ein wichtiger Schutz gegen Clickjacking-Angriffe.
Was ist Clickjacking?
Bei einem Clickjacking-Angriff bettet eine bösartige Website deine Seite in einem unsichtbaren iframe ein und verleitet Nutzer dazu, auf Buttons oder Links zu klicken, die sie nicht beabsichtigt haben — zum Beispiel auf „Konto löschen" zu klicken, während sie denken, sie klicken auf etwas Harmloses.
Verfügbare Werte
DENY— Die Seite kann in keinem Frame angezeigt werden.SAMEORIGIN— Die Seite kann nur in einem Frame derselben Domain angezeigt werden.ALLOW-FROM uri— Die Seite kann nur in einem Frame der angegebenen Quelle angezeigt werden. (Veraltet, von modernen Browsern nicht unterstützt.)
Beispiel
X-Frame-Options: SAMEORIGINDies ist der empfohlene Wert für die meisten WordPress-Seiten. Er erlaubt deiner eigenen Seite die Verwendung von iframes (z.B. für den WordPress-Editor), blockiert aber externe Seiten daran, deine Seiten einzubetten.
Moderne Alternative: CSP frame-ancestors
Die frame-ancestors-Direktive des Content-Security-Policy-Headers ist der moderne Ersatz:
Content-Security-Policy: frame-ancestors 'self'Sie bietet den gleichen Schutz mit mehr Flexibilität. Die Verwendung beider Header zusammen wird für maximale Browser-Kompatibilität empfohlen.
Was InspectWP prüft
InspectWP prüft, ob deine WordPress-Seite den X-Frame-Options-Header sendet. Ein fehlender Header bedeutet, dass jede Website deine Seiten in einem iframe einbetten könnte.