X-Frame-Options
Kurzdefinition
Ein HTTP-Header zum Schutz vor Clickjacking. Er regelt, ob die Website in Frames eingebettet werden darf.
Ausführliche Erklärung
X-Frame-Options ist ein Security-Header, der verhindert, dass eine Website in einem Frame oder iframe einer fremden Seite eingebettet wird – die wichtigste Abwehr gegen Clickjacking. Die gängigen Werte sind `DENY` (gar keine Einbettung) und `SAMEORIGIN` (nur die eigene Domain). In modernen CSP-Konfigurationen übernimmt die Direktive `frame-ancestors` diese Aufgabe flexibler; X-Frame-Options bleibt aber als Fallback für ältere Browser sinnvoll.
Beispiel
`X-Frame-Options: SAMEORIGIN` erlaubt das Einbetten nur durch Seiten der eigenen Domain und blockiert fremde Einbettungsversuche.
Im ausführlichen Fachartikel erklären wir X-Frame-Options mit Architektur, Praxisbeispielen und Best Practices im Detail: