X-Frame-Options header not set

Was bedeutet X-Frame-Options header not set?

Wenn der X-Frame-Options header nicht gesetzt ist (X-Frame-Options header not set) schränken Webanwendung Frame-Objekte oder UI-Layer, die zu einer anderen Anwendung oder Domäne gehören, nicht oder fehlerhaft ein. Dies kann zur Verwirrung der Benutzer bei der Schnittstelle führen, mit der der Benutzer interagiert.

Beschreibung

Von einer Webanwendung wird erwartet, dass sie Einschränkungen für die Wiedergabe innerhalb von Frames, Iframes, Objekten, Einbettungen oder Applet-Elementen auferlegt. Ohne Einschränkungen können Benutzer dazu verleitet werden, mit der Anwendung zu interagieren, obwohl sie dies nicht beabsichtigen.

Security Scanner testen die Existenz und Richtigkeit der X-Frame-Options Header. Bei MEDIUM- und HIGH-Threshold wird nur nach HTML-Antworten ohne Fehlern und Weiterleitungen gesucht. Bei der LOW-Threshold wird auf alle Text-Antworten, inklusive Fehlern und Weiterleitungen, geachtet.

Die folgenden Bedingungen können zu einer Warnmeldung führen:

  • X-Frame-Optionen-Header nicht gesetzt: Wenn die X-Frame-Optionen-Kopfzeile bei der Antwort komplett fehlt.
  • Mehrere Header-Einträge für X-Frame-Optionen: Wenn mehr als eine X-Frame-Optionen-Header in der Antwort entdeckt wurde.
  • X-Frame-Optionen durch META definiert (nicht konform mit den Spezifikationen):  Ein “http-enquiv” wurde in der Antwort gefunden, die versucht hat die X-Frame-Optionen zu definieren, was von den Spezifikationen nicht unterstützt wird.
  • Die Einstellungen für die X-Frame-Optionen sind fehlerhaft: Die Kopfzeile ist ohne Wert vorhanden, hat aber keinen Wert, oder der Wert ist anders als erwartet (d.h. außer “Deny”, “SAMEORIGIN” oder “ALLOW-FROM”).

Standardmäßig löst eine Antwort keine Warnmeldungen aus, die ein ‘frame-ancestors#-Element der Content-Security-Policy enthalten, da diese Vorrang vor der X-Frame-Optionen-Header hat. Jedoch werden bei der LOW-Threshold die oben genannten Probleme weiterhin gemeldet, aber mit einem niedrigeren Risiko.

Ein Angreifer kann einen Benutzer dazu verleiten, Aktionen auszuführen, die maskiert und verborgen sind. Die Auswirkungen variieren stark und hängen von der Funktionalität der zugrunde liegenden Anwendung ab. In einer Social-Media-Anwendung könnte beispielsweise Clickjacking verwendet werden, um den Benutzer in die Änderung der Datenschutzeinstellungen zu bringen.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Durch die Verwendung von X-Frame-Options können Entwickler von Webinhalten die Verwendung ihrer Anwendung in Form von Overlays, Frames oder iFrames einschränken. Der Entwickler kann angeben, von welchen Domänen der Inhalt gerahmt werden kann. Das Konzept der X-Frame-Optionen ist gut dokumentiert, aber die Implementierung dieses Schutzmechanismus ist in der Entwicklung, um Lücken zu schließen. Es besteht die Notwendigkeit, Whitelists und Frames von mehreren Domains zuzulassen.

Ein Entwickler kann auf jeder Seite ein “Frame-Breaker” Skript verwenden. Dies ist sehr hilfreich für ältere Browser, die die zuvor erwähnte Sicherheitsfunktion von X-Frame-Options nicht unterstützen. Es ist auch wichtig zu beachten, dass diese Taktik umgangen oder umgangen wurde. Unsachgemäße Verwendung von Frames kann durch verschachtelte Frames in der Webanwendung bestehen bleiben. Das “Frame-Breaking” Skript berücksichtigt nicht intuitiv mehrere verschachtelte Frames, die dem Benutzer angezeigt werden können.

So kann verhindert werden, dass Frames in Webanwendungen falsch verwendet werden. Gültigen Datenquellen werden priorisiert, die in die Anwendung geladen werden sollen, indem deklarative Richtlinien verwendet werden. Mit “frame-ancestors” oder “frame-src” können diese Schwachstelle behoben werden. Für beide können Einschränkungen für das Zulassen eingebetteter Inhalte festgelegt werden.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/1021.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte