X-Frame-Options header not set

Copyright © Shutterstock / REDPIXEL.PL
Was bedeutet X-Frame-Options header not set?
Wenn der X-Frame-Options header nicht gesetzt ist (X-Frame-Options header not set) schrĂ€nken Webanwendung Frame-Objekte oder UI-Layer, die zu einer anderen Anwendung oder DomĂ€ne gehören, nicht oder fehlerhaft ein. Dies kann zur Verwirrung der Benutzer bei der Schnittstelle fĂŒhren, mit der der Benutzer interagiert.
Beschreibung
Von einer Webanwendung wird erwartet, dass sie EinschrĂ€nkungen fĂŒr die Wiedergabe innerhalb von Frames, Iframes, Objekten, Einbettungen oder Applet-Elementen auferlegt. Ohne EinschrĂ€nkungen können Benutzer dazu verleitet werden, mit der Anwendung zu interagieren, obwohl sie dies nicht beabsichtigen.
Security Scanner testen die Existenz und Richtigkeit der X-Frame-Options Header. Bei MEDIUM- und HIGH-Threshold wird nur nach HTML-Antworten ohne Fehlern und Weiterleitungen gesucht. Bei der LOW-Threshold wird auf alle Text-Antworten, inklusive Fehlern und Weiterleitungen, geachtet.
Die folgenden Bedingungen können zu einer Warnmeldung fĂŒhren:
StandardmĂ€Ăig löst eine Antwort keine Warnmeldungen aus, die ein ‘frame-ancestors#-Element der Content-Security-Policy enthalten, da diese Vorrang vor der X-Frame-Optionen-Header hat. Jedoch werden bei der LOW-Threshold die oben genannten Probleme weiterhin gemeldet, aber mit einem niedrigeren Risiko.
Ein Angreifer kann einen Benutzer dazu verleiten, Aktionen auszufĂŒhren, die maskiert und verborgen sind. Die Auswirkungen variieren stark und hĂ€ngen von der FunktionalitĂ€t der zugrunde liegenden Anwendung ab. In einer Social-Media-Anwendung könnte beispielsweise Clickjacking verwendet werden, um den Benutzer in die Ănderung der Datenschutzeinstellungen zu bringen.
Lösung
Durch die Verwendung von X-Frame-Options können Entwickler von Webinhalten die Verwendung ihrer Anwendung in Form von Overlays, Frames oder iFrames einschrĂ€nken. Der Entwickler kann angeben, von welchen DomĂ€nen der Inhalt gerahmt werden kann. Das Konzept der X-Frame-Optionen ist gut dokumentiert, aber die Implementierung dieses Schutzmechanismus ist in der Entwicklung, um LĂŒcken zu schlieĂen. Es besteht die Notwendigkeit, Whitelists und Frames von mehreren Domains zuzulassen.
Ein Entwickler kann auf jeder Seite ein “Frame-Breaker” Skript verwenden. Dies ist sehr hilfreich fĂŒr Ă€ltere Browser, die die zuvor erwĂ€hnte Sicherheitsfunktion von X-Frame-Options nicht unterstĂŒtzen. Es ist auch wichtig zu beachten, dass diese Taktik umgangen oder umgangen wurde. UnsachgemĂ€Ăe Verwendung von Frames kann durch verschachtelte Frames in der Webanwendung bestehen bleiben. Das “Frame-Breaking” Skript berĂŒcksichtigt nicht intuitiv mehrere verschachtelte Frames, die dem Benutzer angezeigt werden können.
So kann verhindert werden, dass Frames in Webanwendungen falsch verwendet werden. GĂŒltigen Datenquellen werden priorisiert, die in die Anwendung geladen werden sollen, indem deklarative Richtlinien verwendet werden. Mit “frame-ancestors” oder “frame-src” können diese Schwachstelle behoben werden. FĂŒr beide können EinschrĂ€nkungen fĂŒr das Zulassen eingebetteter Inhalte festgelegt werden.
Tipp
Wenn Sie noch Fragen bezĂŒglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich ĂŒber das Thema informieren, wo Sie noch speziell Fragen haben.
Sie haben noch Fragen?