Bei einem Clickjacking-Angriff wird ein User auf einer Website dazu verleitet, auf ein Objekt zu klicken. Dabei wird dieses Objekt aber von einer anderen Website überlagert, so dass der User auf einer anderen Seite eine Aktion auslöst, ohne dass er sich dessen bewusst ist. So kann jede beliebige Aktion ausgelöst werden. Und für diese Angriffsmethode sind selbst einige großen Seiten dafür anfällig, obwohl die Angriffsmethode schon länger bekannt ist.

Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:

Header always append X-Frame-Options DENY

Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen (darf):

Header always append X-Frame-Options SAMEORIGIN

Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:

Header always append X-Frame-Options ALLOW-FROM scheible.it

Weitere Informationen gibt es bei Heise oder in dem Blog-Eintrag von Luca de Fulgentis.