4. Sicherheitsüberlegungen
4. Sicherheitsüberlegungen
Die Verwendung von X-Frame-Options schützt gegen eine spezifische Angriffsform, die als "Clickjacking" bekannt ist. Es ist jedoch wichtig zu beachten, dass es keinen vollständigen Schutz gegen alle Formen von Clickjacking oder andere UI-Redressing-Angriffe bietet.
Das HTTP-Header-Feld X-Frame-Options zeigt eine Richtlinie an, die angibt, ob der Browser die übertragene Ressource innerhalb eines <frame> oder <iframe> rendern soll. Server können diese Richtlinie im Header ihrer HTTP-Antworten deklarieren, um Clickjacking-Angriffe zu verhindern und sicherzustellen, dass ihr Inhalt nicht in andere Websites eingebettet wird.
Es sollte jedoch beachtet werden, dass die SAMEORIGIN-Option das Einrahmen von Seiten erlaubt, wenn sie denselben Ursprung wie die einrahmende Seite haben. Dies ist wichtig, da nicht alle Implementierungen der SAMEORIGIN-Richtlinie alle Vorfahren-Frames überprüfen. Einige Implementierungen überprüfen nur den Top-Level-Browsing-Kontext (das Fenster), während andere die gesamte Frame-Vorfahrenkette überprüfen. Dies bedeutet, dass die SAMEORIGIN-Richtlinie möglicherweise permissiver ist als vom Website-Betreiber beabsichtigt, abhängig von der Browser-Implementierung. Website-Betreiber sollten sich bewusst sein, dass die SAMEORIGIN-Option möglicherweise unterschiedlich von verschiedenen User Agents interpretiert wird, was zu Verhaltensunterschieden führt. Implementierungen, die nur den Top-Level-Browsing-Kontext überprüfen, sind potenziell anfälliger für einen Clickjacking-Angriff der verschachtelten Art "ein Frame in einem Frame".
Die Verwendung von X-Frame-Options als alleiniges Mittel zum Schutz gegen Clickjacking wird nicht empfohlen. Website-Betreiber sollten die Verwendung der frame-ancestors-Direktive der Content Security Policy zusätzlich zu oder anstelle von X-Frame-Options in Betracht ziehen.
Beachten Sie, dass die ALLOW-FROM-Option, sofern unterstützt, das Einrahmen von einer bestimmten Herkunft erlaubt. Website-Betreiber sollten sorgfältig überlegen, ob sie das Einrahmen von der angegebenen Herkunft erlauben möchten, da dies Benutzer Clickjacking-Angriffen aussetzen kann, wenn die angegebene Herkunft kompromittiert wird.
4.1 Datenschutzüberlegungen
Die Verwendung des X-Frame-Options-Header-Feldes führt keine zusätzlichen Datenschutzüberlegungen über die bereits in HTTP selbst inhärenten hinaus ein. Der Wert des Header-Feldes enthält typischerweise keine Informationen über den Benutzer oder das Surfverhalten des Benutzers.