X-Frame-Options header not set

x-frame-options header

Copyright © Shutterstock / REDPIXEL.PL

Was bedeutet X-Frame-Options header not set?

Wenn der X-Frame-Options header nicht gesetzt ist (X-Frame-Options header not set) schrĂ€nken Webanwendung Frame-Objekte oder UI-Layer, die zu einer anderen Anwendung oder DomĂ€ne gehören, nicht oder fehlerhaft ein. Dies kann zur Verwirrung der Benutzer bei der Schnittstelle fĂŒhren, mit der der Benutzer interagiert.

Beschreibung

Von einer Webanwendung wird erwartet, dass sie EinschrĂ€nkungen fĂŒr die Wiedergabe innerhalb von Frames, Iframes, Objekten, Einbettungen oder Applet-Elementen auferlegt. Ohne EinschrĂ€nkungen können Benutzer dazu verleitet werden, mit der Anwendung zu interagieren, obwohl sie dies nicht beabsichtigen.

Security Scanner testen die Existenz und Richtigkeit der X-Frame-Options Header. Bei MEDIUM- und HIGH-Threshold wird nur nach HTML-Antworten ohne Fehlern und Weiterleitungen gesucht. Bei der LOW-Threshold wird auf alle Text-Antworten, inklusive Fehlern und Weiterleitungen, geachtet.

Die folgenden Bedingungen können zu einer Warnmeldung fĂŒhren:

Wenn die X-Frame-Optionen-Kopfzeile bei der Antwort komplett fehlt.
Wenn mehr als eine X-Frame-Optionen-Header in der Antwort entdeckt wurde.
Ein “http-enquiv” wurde in der Antwort gefunden, die versucht hat die X-Frame-Optionen zu definieren, was von den Spezifikationen nicht unterstĂŒtzt wird.
Die Kopfzeile ist ohne Wert vorhanden, hat aber keinen Wert, oder der Wert ist anders als erwartet (d.h. außer “Deny”, “SAMEORIGIN” oder “ALLOW-FROM”).

StandardmĂ€ĂŸig löst eine Antwort keine Warnmeldungen aus, die ein ‘frame-ancestors#-Element der Content-Security-Policy enthalten, da diese Vorrang vor der X-Frame-Optionen-Header hat. Jedoch werden bei der LOW-Threshold die oben genannten Probleme weiterhin gemeldet, aber mit einem niedrigeren Risiko.

Ein Angreifer kann einen Benutzer dazu verleiten, Aktionen auszufĂŒhren, die maskiert und verborgen sind. Die Auswirkungen variieren stark und hĂ€ngen von der FunktionalitĂ€t der zugrunde liegenden Anwendung ab. In einer Social-Media-Anwendung könnte beispielsweise Clickjacking verwendet werden, um den Benutzer in die Änderung der Datenschutzeinstellungen zu bringen.

Lösung

Durch die Verwendung von X-Frame-Options können Entwickler von Webinhalten die Verwendung ihrer Anwendung in Form von Overlays, Frames oder iFrames einschrĂ€nken. Der Entwickler kann angeben, von welchen DomĂ€nen der Inhalt gerahmt werden kann. Das Konzept der X-Frame-Optionen ist gut dokumentiert, aber die Implementierung dieses Schutzmechanismus ist in der Entwicklung, um LĂŒcken zu schließen. Es besteht die Notwendigkeit, Whitelists und Frames von mehreren Domains zuzulassen.

Ein Entwickler kann auf jeder Seite ein “Frame-Breaker” Skript verwenden. Dies ist sehr hilfreich fĂŒr Ă€ltere Browser, die die zuvor erwĂ€hnte Sicherheitsfunktion von X-Frame-Options nicht unterstĂŒtzen. Es ist auch wichtig zu beachten, dass diese Taktik umgangen oder umgangen wurde. UnsachgemĂ€ĂŸe Verwendung von Frames kann durch verschachtelte Frames in der Webanwendung bestehen bleiben. Das “Frame-Breaking” Skript berĂŒcksichtigt nicht intuitiv mehrere verschachtelte Frames, die dem Benutzer angezeigt werden können.

So kann verhindert werden, dass Frames in Webanwendungen falsch verwendet werden. GĂŒltigen Datenquellen werden priorisiert, die in die Anwendung geladen werden sollen, indem deklarative Richtlinien verwendet werden. Mit “frame-ancestors” oder “frame-src” können diese Schwachstelle behoben werden. FĂŒr beide können EinschrĂ€nkungen fĂŒr das Zulassen eingebetteter Inhalte festgelegt werden.

Tipp

Wenn Sie noch Fragen bezĂŒglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich ĂŒber das Thema informieren, wo Sie noch speziell Fragen haben.

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte