Tobias Scheible Cyber Security & IT-Forensik Dozent
Schutz vor Clickjacking

X-Frame-Options – Schutz vor Clickjacking

Der Sicherheitsexperte Luca de Fulgentis von NibbleSecurity hat vor kurzem gezeigt, dass die Systeme von Amazon, Google, Microsoft und Yahoo unzureichend vor Clickjacking-Angriffen geschützt sind. Dabei könnten diese einfach verhindert werden.

Sonntag, 27. Januar 2013
2 Kommentare

Bei einem Clickjacking-Angriff wird ein User auf einer Website dazu verleitet, auf ein Objekt zu klicken. Dabei wird dieses Objekt aber von einer anderen Website überlagert, so dass der User auf einer anderen Seite eine Aktion auslöst, ohne dass er sich dessen bewusst ist. So kann jede beliebige Aktion ausgelöst werden. Und für diese Angriffsmethode sind selbst einige großen Seiten dafür anfällig, obwohl die Angriffsmethode schon länger bekannt ist.

Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:

Header always append X-Frame-Options DENY

Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen (darf):

Header always append X-Frame-Options SAMEORIGIN

Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:

Header always append X-Frame-Options ALLOW-FROM scheible.it

Weitere Informationen gibt es bei Heise oder in dem Blog-Eintrag von Luca de Fulgentis.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Harald Müssig am 17. Dezember 2019 um 15:34 Uhr

An dieser Stelle möchte ich mich bedanken für die Mühe, die Sie sich in dieser Sache gemacht haben.
Die nervigen Clickjackings nutzen die Bekanntheit anderer Seiten, um irgendwelchen Ramsch zu offerieren. Nicht mal ein Impressum haben diese Leute nötig!
Nun habe ich zu tun, um den Code einzufügen, damit damit Schluß ist.

Schönen Gruß von der Lahn!

Alfred Epple am 3. Oktober 2020 um 14:14 Uhr

Solch klare und eindeutige Hilfe habe ich selten gesehen. Vielen herzlichen Dank. Wo andere um den heißen Brei herumschwafeln, gibt es hier Klartext. Ich bin begeistert.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.