X-Frame-Options für Caddy konfigurieren

Schritt-für-Schritt-Anleitung: X-Frame-Options und CSP frame-ancestors auf Caddy einrichten — beide Header in 2 Zeilen im Caddyfile.

Header prüfen Plattform entdecken
Caddy · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 26. März 2026

Clickjacking-Schutz auf Caddy

X-Frame-Options und CSP frame-ancestors verhindern, dass Ihre Website in fremden iFrames eingebettet wird. Caddy setzt beide Header über die header-Direktive im Caddyfile — zwei Zeilen für vollständigen Clickjacking-Schutz. In Kombination bieten beide Header Defense-in-Depth: X-Frame-Options als Fallback, frame-ancestors als modernen primären Schutz.

X-Frame-Options ist mit 10 von 166 Punkten ein Faktor im Wolf-Agents Web Security Check. Die Konfiguration dauert weniger als 5 Minuten.

Ausführliche Einführung in Clickjacking-Schutz

1 Schritt 1 von 2

X-Frame-Options und frame-ancestors konfigurieren

Fügen Sie beide Header in Ihrem Caddyfile hinzu. Die header-Direktive setzt den Header auf allen Responses. Zwei Zeilen genügen für vollständigen Clickjacking-Schutz.

Caddyfile Produktiv 
# Clickjacking-Schutz — Defense-in-Depth
ihre-domain.de {
    header X-Frame-Options "SAMEORIGIN"
    header Content-Security-Policy "frame-ancestors 'self'"
}
Bestehende CSP beachten

Wenn Sie bereits einen Content-Security-Policy-Header im Caddyfile setzen, fügen Sie frame-ancestors 'self' zu Ihrer bestehenden CSP hinzu. Doppelte CSP-Header können zu unerwartetem Verhalten führen.

2 Schritt 2 von 2

Konfiguration testen und verifizieren

Laden Sie die Caddy-Konfiguration neu und verifizieren Sie beide Header mit curl.

Terminal Verifizieren 
# 1. Caddy-Konfiguration neu laden
caddy reload

# 2. X-Frame-Options-Header prüfen
curl -sI https://ihre-domain.de | grep -i x-frame

# Erwartete Ausgabe:
# X-Frame-Options: SAMEORIGIN

# 3. frame-ancestors prüfen
curl -sI https://ihre-domain.de | grep -i content-security

# Erwartete Ausgabe:
# Content-Security-Policy: frame-ancestors 'self'
Caddy validiert die Konfiguration beim Reload automatisch. Bei Syntaxfehlern bleibt die alte Konfiguration aktiv — kein Risiko für Ausfälle.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpress

Wie steht Ihre Domain bei X-Frame-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Muss ich Caddy nach der Änderung neu starten?

Ein Reload genügt — caddy reload liest die neue Konfiguration ohne Unterbrechung aktiver Verbindungen. Ein vollständiger Neustart ist nicht nötig.

Kann ich verschiedene Header für verschiedene Pfade setzen?

Ja. Caddy unterstützt Pfad-Matcher: header /admin/* X-Frame-Options "DENY" setzt DENY nur für den Admin-Bereich. So können Sie den Admin strenger schützen als das Frontend.

Warum setzt die Caddy-Konfiguration beide Header?

Defense-in-Depth: X-Frame-Options ist der Fallback für älteste Clients. CSP frame-ancestors ist der moderne Standard mit Multi-Origin-Support. Bei Konflikten priorisieren Browser frame-ancestors. Beide Header zusammen bieten maximalen Schutz.

Was wenn ich bereits eine CSP in Caddy konfiguriert habe?

Wenn Sie bereits einen Content-Security-Policy-Header setzen, fügen Sie frame-ancestors zu Ihrer bestehenden CSP hinzu, statt einen zweiten Header zu setzen. Doppelte CSP-Header können zu unerwartetem Verhalten führen.

Setzt Caddy automatisch TLS und X-Frame-Options?

Caddy setzt automatisch TLS (HTTPS), aber keine Security Headers. X-Frame-Options, frame-ancestors und andere Security Header müssen manuell konfiguriert werden.