X-Frame-Options

Die X-Frame-Options im HTTP Antwort Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe><embed> oder <object> rendern also einbetten darf. Webseiten können diesen Header verwenden, um clickjacking Attacken abzuwehren, indem sie unterbinden, dass ihr Content in fremden Seiten eingebettet wird.

Die somit erreichte Sicherheit wird nur dann gewährleistet, wenn der User zum Aufruf einen Browser verwendet, der die X-Frame-Options Funktion auch unterstützt.

Header type Response header
Forbidden header name nein

Syntax

Es gibt drei mögliche Ausprägungen der X-Frame-Options:

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

Ausprägungen

Die Nutzung von deny unterbindet nicht nur die Frame-Einbindung von fremden Seiten sondern auch das Einbetten auf derselben Ursprungswebseite. Alternativ kann der Wert sameorigin verwendet werden, wenn die Nutzung innerhalb der gleichen Ursprungswebseite erlaubt sein soll.

deny
Die Seite kann nicht in einem Frame eingebettet werden, egal welches die aufrufende Webseite ist.
sameorigin
Die Seite kann nur als Frame eingebettet werden, wenn beide von der gleichen Quellseite (same origin) stammen. Die Spezifikation lässt es Browserherstellern offen, auf welcher Ebene dieser Wert greift: auf höchster Ebene, der nächsthöheren oder der gesamten Kette. Es wird jedoch festgestellt, dass die Option wenig nützlich ist, sofern nicht alle Eltern-Webseiten von der gleichen Quelle stammen (siehe Bug 725490).  Siehe weiterhin Browser compatibility zur Browserunterstützung.
allow-from uri
Die Seite lässt sich ausschließlich dann einbetten, wenn die einbettende Seite aus der Quelle uri stammt. Hinweis: In Firefox besteht hier das gleiche Problem wie bei sameorigin -  die Eltern-Frames werden nicht darauf hin geprüft, ob sie aus der gleichen Quelle stammen.

Beispiele

Hinweis: Die Nutzung des meta tag innerhalb des Webseiten-Contents hat keinen Effekt! Beispielsweise die Deklaration <meta http-equiv="X-Frame-Options" content="deny"> führt zu keiner Verhaltensänderung. Ausschließlich die Nutzung der HTTP Header (siehe Beispiele) führt zu einer Verhaltensänderung des Browser.

Apache Konfiguration

Um einen Apache Webserver zum Senden des X-Frame-Options Headers für alle Webseiten zu bewegen, fügen Sie folgenden Eintrag in die Seiten-Konfiguration ein:

Header always set X-Frame-Options "sameorigin"

Um Apache so zu konfigurieren, dass X-Frame-Options mit dem Wert deny gesendet wird, fügen Sie folgenden Eintrag in die Seiten-Konfiguration ein:

Header set X-Frame-Options "deny"

Um Apache so zu konfigurieren, dass X-Frame-Options mit dem Wert allow-from einen bestimmten Host freigibt, fügen Sie folgenden Eintrag in die Seiten-Konfiguration ein:

Header set X-Frame-Options "allow-from https://example.com/"

nginx Konfiguration

Um einen nginx Server zum Senden des X-Frame-Options Header aufzufordern, fügen Sie folgenden Eintrag entweder zu Ihrer http, server oder location Konfiguration hinzu:

add_header X-Frame-Options sameorigin;

IIS Konfiguration

Um den IIS Server zum Senden des X-Frame-Options Headers aufzufordern, ergänzen Sie folgenden Eintrag entsprechend in Ihrer Web.config Datei:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="sameorigin" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

HAProxy Konfiguration

Um HAProxy zum Senden des X-Frame-Options Headers aufzufordern, fügen Sie diesen Eintrag zu Ihrer front-end, listen oder backend Konfiguration hinzu:

rspadd X-Frame-Options:\ sameorigin

Alternatively, in newer versions:

http-response set-header X-Frame-Options sameorigin

Spezifikationen

Spezifikation Bezeichnung
RFC 7034 HTTP Header Field X-Frame-Options

Browser Kompatibilität

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid WebviewChrome für AndroidFirefox für AndroidOpera für AndroidSafari auf iOSSamsung Internet
X-Frame-OptionsChrome Vollständige Unterstützung 4Edge Vollständige Unterstützung JaFirefox Vollständige Unterstützung 3.6.9IE Vollständige Unterstützung 8Opera Vollständige Unterstützung 10.5Safari Vollständige Unterstützung 4WebView Android Vollständige Unterstützung JaChrome Android Vollständige Unterstützung JaFirefox Android Vollständige Unterstützung JaOpera Android Vollständige Unterstützung JaSafari iOS Vollständige Unterstützung JaSamsung Internet Android Vollständige Unterstützung Ja
ALLOW-FROMChrome Keine Unterstützung NeinEdge Vollständige Unterstützung JaFirefox Keine Unterstützung 18 — 70IE Vollständige Unterstützung 8Opera Keine Unterstützung NeinSafari Keine Unterstützung NeinWebView Android Keine Unterstützung NeinChrome Android Keine Unterstützung NeinFirefox Android Vollständige Unterstützung 18Opera Android ? Safari iOS Keine Unterstützung NeinSamsung Internet Android Keine Unterstützung Nein
SAMEORIGINChrome Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Chrome 61, this applies to all of a frame's ancestors.
Edge ? Firefox Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Firefox 59, this applies to all of a frame's ancestors.
IE Vollständige Unterstützung 8Opera Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Opera 48, this applies to all of a frame's ancestors.
Safari Vollständige Unterstützung JaWebView Android Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Chrome 61, this applies to all of a frame's ancestors.
Chrome Android Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Chrome 61, this applies to all of a frame's ancestors.
Firefox Android Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Firefox 59, this applies to all of a frame's ancestors.
Opera Android Vollständige Unterstützung Ja
Hinweise
Vollständige Unterstützung Ja
Hinweise
Hinweise Starting in Opera 48, this applies to all of a frame's ancestors.
Safari iOS ? Samsung Internet Android Vollständige Unterstützung Ja

Legende

Vollständige Unterstützung  
Vollständige Unterstützung
Keine Unterstützung  
Keine Unterstützung
Kompatibilität unbekannt  
Kompatibilität unbekannt
Siehe Implementierungshinweise.
Siehe Implementierungshinweise.

Siehe auch

Verwandte Themen
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept [Übersetzen]
    2. Accept-CH [Übersetzen]
    3. Accept-CH-Lifetime [Übersetzen]
    4. Accept-Charset [Übersetzen]
    5. Accept-Encoding [Übersetzen]
    6. Accept-Language [Übersetzen]
    7. Accept-Patch [Übersetzen]
    8. Accept-Ranges [Übersetzen]
    9. Access-Control-Allow-Credentials [Übersetzen]
    10. Access-Control-Allow-Headers [Übersetzen]
    11. Access-Control-Allow-Methods [Übersetzen]
    12. Access-Control-Allow-Origin [Übersetzen]
    13. Access-Control-Expose-Headers [Übersetzen]
    14. Access-Control-Max-Age [Übersetzen]
    15. Access-Control-Request-Headers [Übersetzen]
    16. Access-Control-Request-Method [Übersetzen]
    17. Age
    18. Allow [Übersetzen]
    19. Alt-Svc [Übersetzen]
    20. Authorization [Übersetzen]
    21. Cache-Control
    22. Clear-Site-Data [Übersetzen]
    23. Connection [Übersetzen]
    24. Content-Disposition [Übersetzen]
    25. Content-Encoding [Übersetzen]
    26. Content-Language [Übersetzen]
    27. Content-Length [Übersetzen]
    28. Content-Location [Übersetzen]
    29. Content-Range [Übersetzen]
    30. Content-Security-Policy [Übersetzen]
    31. Content-Security-Policy-Report-Only [Übersetzen]
    32. Content-Type [Übersetzen]
    33. Cookie
    34. Cookie2 [Übersetzen]
    35. Cross-Origin-Resource-Policy [Übersetzen]
    36. DNT
    37. DPR [Übersetzen]
    38. Date [Übersetzen]
    39. Device-Memory [Übersetzen]
    40. Digest [Übersetzen]
    41. ETag [Übersetzen]
    42. Early-Data [Übersetzen]
    43. Expect [Übersetzen]
    44. Expect-CT [Übersetzen]
    45. Expires
    46. Feature-Policy [Übersetzen]
    47. Forwarded [Übersetzen]
    48. From [Übersetzen]
    49. Host [Übersetzen]
    50. If-Match [Übersetzen]
    51. If-Modified-Since [Übersetzen]
    52. If-None-Match [Übersetzen]
    53. If-Range [Übersetzen]
    54. If-Unmodified-Since [Übersetzen]
    55. Index [Übersetzen]
    56. Keep-Alive [Übersetzen]
    57. Large-Allocation [Übersetzen]
    58. Last-Modified [Übersetzen]
    59. Link [Übersetzen]
    60. Location [Übersetzen]
    61. Origin [Übersetzen]
    62. Pragma [Übersetzen]
    63. Proxy-Authenticate [Übersetzen]
    64. Proxy-Authorization [Übersetzen]
    65. Public-Key-Pins [Übersetzen]
    66. Public-Key-Pins-Report-Only [Übersetzen]
    67. Range [Übersetzen]
    68. Referer
    69. Referrer-Policy [Übersetzen]
    70. Retry-After [Übersetzen]
    71. Save-Data [Übersetzen]
    72. Sec-WebSocket-Accept [Übersetzen]
    73. Server
    74. Server-Timing [Übersetzen]
    75. Set-Cookie [Übersetzen]
    76. Set-Cookie2 [Übersetzen]
    77. SourceMap [Übersetzen]
    78. Strict-Transport-Security [Übersetzen]
    79. TE [Übersetzen]
    80. Timing-Allow-Origin [Übersetzen]
    81. Tk
    82. Trailer [Übersetzen]
    83. Transfer-Encoding [Übersetzen]
    84. Upgrade-Insecure-Requests [Übersetzen]
    85. User-Agent
    86. Vary [Übersetzen]
    87. Via [Übersetzen]
    88. WWW-Authenticate [Übersetzen]
    89. Want-Digest [Übersetzen]
    90. Warning [Übersetzen]
    91. X-Content-Type-Options
    92. X-DNS-Prefetch-Control [Übersetzen]
    93. X-Forwarded-For [Übersetzen]
    94. X-Forwarded-Host [Übersetzen]
    95. X-Forwarded-Proto [Übersetzen]
    96. X-Frame-Options
    97. X-XSS-Protection [Übersetzen]
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD [Übersetzen]
    5. OPTIONS [Übersetzen]
    6. PATCH [Übersetzen]
    7. POST [Übersetzen]
    8. PUT [Übersetzen]
    9. TRACE [Übersetzen]
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocols [Übersetzen]
    3. 103 Early Hints [Übersetzen]
    4. 200 OK
    5. 201 Created [Übersetzen]
    6. 202 Accepted [Übersetzen]
    7. 203 Non-Authoritative Information [Übersetzen]
    8. 204 No Content [Übersetzen]
    9. 205 Reset Content [Übersetzen]
    10. 206 Partial Content [Übersetzen]
    11. 300 Multiple Choices [Übersetzen]
    12. 301 Moved Permanently [Übersetzen]
    13. 302 Found
    14. 303 See Other [Übersetzen]
    15. 304 Not Modified
    16. 307 Temporary Redirect [Übersetzen]
    17. 308 Permanent Redirect [Übersetzen]
    18. 400 Bad Request
    19. 401 Unauthorized
    20. 402 Payment Required
    21. 403 Forbidden
    22. 404 Not Found
    23. 405 Method Not Allowed [Übersetzen]
    24. 406 Not Acceptable [Übersetzen]
    25. 407 Proxy Authentication Required [Übersetzen]
    26. 408 Request Timeout [Übersetzen]
    27. 409 Konflikt
    28. 410 Gone
    29. 411 Length Required [Übersetzen]
    30. 412 Precondition Failed [Übersetzen]
    31. 413 Payload Too Large [Übersetzen]
    32. 414 URI Too Long
    33. 415 Unsupported Media Type [Übersetzen]
    34. 416 Range Not Satisfiable [Übersetzen]
    35. 417 Expectation Failed [Übersetzen]
    36. 418 I'm a teapot
    37. 422 Unprocessable Entity [Übersetzen]
    38. 425 Too Early [Übersetzen]
    39. 426 Upgrade Required [Übersetzen]
    40. 428 Precondition Required [Übersetzen]
    41. 429 Too Many Requests [Übersetzen]
    42. 431 Request Header Fields Too Large [Übersetzen]
    43. 451 Unavailable For Legal Reasons [Übersetzen]
    44. 500 Internal Server Error
    45. 501 Not Implemented [Übersetzen]
    46. 502 Bad Gateway [Übersetzen]
    47. 503 Service Unavailable
    48. 504 Gateway Timeout
    49. 505 HTTP Version Not Supported
    50. 506 Variant Also Negotiates [Übersetzen]
    51. 507 Insufficient Storage [Übersetzen]
    52. 508 Loop Detected [Übersetzen]
    53. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri [Übersetzen]
    2. CSP: block-all-mixed-content [Übersetzen]
    3. CSP: child-src [Übersetzen]
    4. CSP: connect-src [Übersetzen]
    5. CSP: default-src [Übersetzen]
    6. CSP: font-src [Übersetzen]
    7. CSP: form-action [Übersetzen]
    8. CSP: frame-ancestors [Übersetzen]
    9. CSP: frame-src [Übersetzen]
    10. CSP: img-src [Übersetzen]
    11. CSP: manifest-src [Übersetzen]
    12. CSP: media-src [Übersetzen]
    13. CSP: navigate-to [Übersetzen]
    14. CSP: object-src [Übersetzen]
    15. CSP: plugin-types [Übersetzen]
    16. CSP: prefetch-src [Übersetzen]
    17. CSP: referrer [Übersetzen]
    18. CSP: report-to [Übersetzen]
    19. CSP: report-uri [Übersetzen]
    20. CSP: require-sri-for [Übersetzen]
    21. CSP: sandbox [Übersetzen]
    22. CSP: script-src [Übersetzen]
    23. CSP: script-src-attr [Übersetzen]
    24. CSP: script-src-elem [Übersetzen]
    25. CSP: style-src [Übersetzen]
    26. CSP: style-src-attr [Übersetzen]
    27. CSP: style-src-elem [Übersetzen]
    28. CSP: trusted-types [Übersetzen]
    29. CSP: upgrade-insecure-requests [Übersetzen]
    30. CSP: worker-src [Übersetzen]
  22. CORS errors
    1. Reason: CORS disabled [Übersetzen]
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Übersetzen]
    3. Grund: CORS header 'AccessGrund: CORS-Kopfzeile 'Access-Control-Allow-Origin' fehlt
    4. Reason: CORS header ‘Origin’ cannot be added [Übersetzen]
    5. Reason: CORS preflight channel did not succeed [Übersetzen]
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed [Übersetzen]
    8. Ursache: CORS Anfrage nicht HTTP
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Übersetzen]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Übersetzen]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Übersetzen]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Übersetzen]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Übersetzen]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Übersetzen]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Übersetzen]
  23. Feature-Policy directives
    1. Feature-Policy: accelerometer [Übersetzen]
    2. Feature-Policy: ambient-light-sensor [Übersetzen]
    3. Feature-Policy: autoplay [Übersetzen]
    4. Feature-Policy: battery [Übersetzen]
    5. Feature-Policy: camera [Übersetzen]
    6. Feature-Policy: display-capture [Übersetzen]
    7. Feature-Policy: document-domain [Übersetzen]
    8. Feature-Policy: encrypted-media [Übersetzen]
    9. Feature-Policy: fullscreen [Übersetzen]
    10. Feature-Policy: geolocation [Übersetzen]
    11. Feature-Policy: gyroscope [Übersetzen]
    12. Feature-Policy: layout-animations [Übersetzen]
    13. Feature-Policy: legacy-image-formats [Übersetzen]
    14. Feature-Policy: magnetometer [Übersetzen]
    15. Feature-Policy: microphone [Übersetzen]
    16. Feature-Policy: midi [Übersetzen]
    17. Feature-Policy: oversized-images [Übersetzen]
    18. Feature-Policy: payment [Übersetzen]
    19. Feature-Policy: picture-in-picture [Übersetzen]
    20. Feature-Policy: publickey-credentials [Übersetzen]
    21. Feature-Policy: speaker [Übersetzen]
    22. Feature-Policy: sync-xhr [Übersetzen]
    23. Feature-Policy: unoptimized-images [Übersetzen]
    24. Feature-Policy: unsized-media [Übersetzen]
    25. Feature-Policy: usb [Übersetzen]
    26. Feature-Policy: vibrate [Übersetzen]
    27. Feature-Policy: vr [Übersetzen]
    28. Feature-Policy: wake-lock [Übersetzen]
    29. Feature-Policy: xr [Übersetzen]
    30. Feature-Policy: xr-spatial-tracking [Übersetzen]