X-Frame-Options für Bunny CDN konfigurieren

Clickjacking-Schutz per Edge Rule — X-Frame-Options DENY oder SAMEORIGIN für die gesamte Pull Zone.

Header prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

Clickjacking-Schutz auf Bunny CDN

X-Frame-Options verhindert, dass Ihre Website in Iframes eingebettet wird — der wichtigste Schutz gegen Clickjacking-Angriffe. Mit 10 von 166 Punkten im Wolf-Agents Web Security Check ist dieser Header ein Basis-Schutz, den jede Website implementieren sollte. Auf Bunny CDN setzen Sie ihn per Edge Rule für die gesamte Pull Zone.

Für modernen Clickjacking-Schutz empfiehlt Wolf-Agents zusätzlich die CSP-Direktive frame-ancestors, die X-Frame-Options langfristig ersetzt und granulare Kontrolle über erlaubte Einbettungs-Domains bietet. Setzen Sie beide Header parallel, um auch ältere Browser abzudecken. Wolf-Agents setzt X-Frame-Options per Edge Rule auf Bunny CDN ein.

Ausführliche Einführung in X-Frame-Options

1 Schritt 1 von 3

X-Frame-Options per Edge Rule setzen

Legen Sie eine Edge Rule mit X-Frame-Options: DENY an. DENY blockiert jede Iframe-Einbettung — auch von Ihrer eigenen Domain. Wenn Sie Ihre Website in eigene Iframes einbetten müssen (z.B. für ein Backend-Preview), verwenden Sie SAMEORIGIN. Die CSP-Direktive frame-ancestors bietet zusätzlich domainspezifische Kontrolle.

Bunny Dashboard → Edge Rules Dashboard 
# Bunny Dashboard → Pull Zone → Edge Rules → Add Edge Rule

Condition:    Match All
Action:       Set Response Header
Header Name:  X-Frame-Options
Header Value: DENY

# Alternative: SAMEORIGIN (erlaubt Einbettung von eigener Domain)
# Header Value: SAMEORIGIN

# Empfehlung: Zusätzlich CSP frame-ancestors setzen
# → Eigene Edge Rule für Content-Security-Policy
# → frame-ancestors 'none' (entspricht DENY)
# → frame-ancestors 'self' (entspricht SAMEORIGIN)
X-Frame-Options vs. frame-ancestors

Die CSP-Direktive frame-ancestors ist die moderne Alternative. Sie erlaubt granulare Kontrolle: frame-ancestors 'self' https://trusted.example. Setzen Sie beide Header parallel für maximale Browser-Kompatibilität.

2 Schritt 2 von 3

Per Bunny API automatisieren

Für Infrastructure-as-Code erstellen Sie die Edge Rule per Bunny API. X-Frame-Options ist ein einfacher Header mit nur zwei sinnvollen Werten — DENY oder SAMEORIGIN. ALLOW-FROM ist veraltet und wird von modernen Browsern nicht unterstützt.

Bunny API (cURL) API 
# Bunny API — X-Frame-Options Edge Rule erstellen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "ActionType": 15,
  "ActionParameter1": "X-Frame-Options",
  "ActionParameter2": "DENY",
  "Triggers": [{
    "Type": 0,
    "PatternMatchingType": 0,
    "PatternMatches": ["*"]
  }],
  "TriggerMatchingType": 0,
  "Description": "X-Frame-Options Clickjacking Protection",
  "Enabled": true
}'
Prüfen Sie, ob Ihre Website Iframe-Einbettungen nutzt (Payment-Widgets, Social-Media-Embeds, Video-Player). DENY blockiert auch gewollte Einbettungen Ihrer eigenen Seite.
3 Schritt 3 von 3

Verifizieren

Prüfen Sie den X-Frame-Options-Header per curl. Testen Sie zusätzlich, ob die Iframe-Blockierung funktioniert, indem Sie eine Test-HTML-Datei mit einem Iframe auf Ihre Domain erstellen. Der Browser sollte die Einbettung verweigern und eine Fehlermeldung in der Console anzeigen.

Terminal Verifizieren 
# X-Frame-Options prüfen
curl -sI https://ihre-domain.b-cdn.net | grep -i x-frame-options

# Erwartete Ausgabe:
x-frame-options: DENY

# Clickjacking-Test: Iframe-Einbettung prüfen
# Erstellen Sie eine HTML-Datei mit:
# <iframe src="https://ihre-domain.de"></iframe>
# → Browser sollte die Einbettung blockieren

Häufige Fehler

ALLOW-FROM wird nicht unterstützt

Die ALLOW-FROM-Direktive wird von Chrome, Firefox und Edge nicht unterstützt. Verwenden Sie stattdessen die CSP-Direktive frame-ancestors für domainspezifische Einbettungsregeln.

Doppelter Header durch Origin und Edge Rule

Wenn Ihr Origin bereits X-Frame-Options setzt, können zwei Header-Werte existieren. Nutzen Sie Override Response Header statt Set Response Header in der Edge Rule.

DENY blockiert eigene Iframes

DENY blockiert jede Iframe-Einbettung — auch von der eigenen Domain. Wenn Sie ein Backend-Preview oder interne Iframes nutzen, verwenden Sie SAMEORIGIN.

Compliance-Relevanz

Clickjacking-Schutz ist eine Grundanforderung der OWASP Top 10. PCI DSS fordert Schutz vor clientseitigen Angriffen — Clickjacking ist ein bekannter Angriffsvektor. BSI IT-Grundschutz empfiehlt X-Frame-Options als Basis-Absicherung für Webanwendungen. NIS2 verlangt technische Maßnahmen gegen bekannte Angriffsvektoren. Der Wolf-Agents Web Security Check prüft X-Frame-Options und frame-ancestors als Teil der 166-Punkte-Analyse.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei X-Frame-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo