Bei einem Clickjacking-Angriff wird ein User auf einer Website dazu verleitet, auf ein Objekt zu klicken. Dabei wird dieses Objekt aber von einer anderen Website überlagert, so dass der User auf einer anderen Seite eine Aktion auslöst, ohne dass er sich dessen bewusst ist. So kann jede beliebige Aktion ausgelöst werden. Und für diese Angriffsmethode sind selbst einige großen Seiten dafür anfällig, obwohl die Angriffsmethode schon länger bekannt ist.
Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:
Header always append X-Frame-Options DENY
Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen (darf):
Header always append X-Frame-Options SAMEORIGIN
Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:
Header always append X-Frame-Options ALLOW-FROM scheible.it
Weitere Informationen gibt es bei Heise oder in dem Blog-Eintrag von Luca de Fulgentis.
An dieser Stelle möchte ich mich bedanken für die Mühe, die Sie sich in dieser Sache gemacht haben.
Die nervigen Clickjackings nutzen die Bekanntheit anderer Seiten, um irgendwelchen Ramsch zu offerieren. Nicht mal ein Impressum haben diese Leute nötig!
Nun habe ich zu tun, um den Code einzufügen, damit damit Schluß ist.
Schönen Gruß von der Lahn!