X-Frame-Options über Cloudflare konfigurieren

Schritt-für-Schritt-Anleitung: X-Frame-Options über Cloudflare Transform Rules einrichten — UI-basiert, kein Server-Zugriff nötig, sofortiger Schutz.

Header prüfen Plattform entdecken
Cloudflare · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 26. März 2026

Clickjacking-Schutz über Cloudflare

X-Frame-Options verhindert, dass Ihre Website in fremden iFrames eingebettet wird. Cloudflare setzt den Header über Transform Rules — komplett UI-basiert, ohne Server-Zugriff und ohne Code. Das macht Cloudflare ideal für Plattformen, auf denen Sie keinen direkten Zugriff auf die Server-Konfiguration haben. Eine einzige Rule genügt für sofortigen Clickjacking-Schutz auf Ihrer gesamten Website.

Transform Rules sind in allen Cloudflare-Plänen verfügbar, einschließlich des kostenlosen Free-Plans. Setzen Sie zusätzlich frame-ancestors als zweite Rule für Defense-in-Depth. Der Wolf-Agents Web Security Check prüft X-Frame-Options automatisch — als Teil der 166 Prüfpunkte.

Ausführliche Einführung in Clickjacking-Schutz

1 Schritt 1 von 2

Transform Rule erstellen

Navigieren Sie im Cloudflare Dashboard zu Rules > Transform Rules > Modify Response Header. Erstellen Sie eine neue Rule mit den folgenden Einstellungen:

1 Öffnen Sie Rules > Transform Rules > Tab Modify Response Header
2 Klicken Sie Create Rule
3 Rule Name: Clickjacking Protection
4 Matching: All incoming requests
5 Action: Set static
Transform Rule — Modify Response Header Produktiv 
# Header Name:
X-Frame-Options

# Header Value:
SAMEORIGIN
Defense-in-Depth: frame-ancestors hinzufügen

Erstellen Sie eine zweite Transform Rule für den CSP-Header: Header Name Content-Security-Policy, Value frame-ancestors 'self'. Beide Header zusammen bieten maximalen Schutz. Achten Sie darauf, dass Ihr Origin-Server nicht bereits einen CSP-Header setzt.

2 Schritt 2 von 2

Header verifizieren

Cloudflare Transform Rules werden sofort aktiv — kein Deployment oder Cache-Purge nötig. Verifizieren Sie den Header mit curl.

Terminal Verifizieren 
# X-Frame-Options-Header prüfen
curl -sI https://ihre-domain.de | grep -i x-frame

# Erwartete Ausgabe:
# X-Frame-Options: SAMEORIGIN
Cloudflare zeigt im Dashboard unter Security > Overview einen Security-Header-Report. Dort können Sie prüfen, ob alle empfohlenen Header gesetzt sind.

Auch verfügbar für:

NginxApacheWordPressNext.jsExpressCaddy

Wie steht Ihre Domain bei X-Frame-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Brauche ich Server-Zugriff für X-Frame-Options mit Cloudflare?

Nein. Cloudflare Transform Rules fügen den Header auf CDN-Ebene hinzu. Das ist ideal für Plattformen wie Shopify, Squarespace oder andere gehostete Services, bei denen Sie keinen Server-Zugriff haben.

Kann ich X-Frame-Options und frame-ancestors gleichzeitig setzen?

Ja. Erstellen Sie zwei separate Transform Rules oder setzen Sie beide Header in einer Rule. Achten Sie darauf, dass Ihr Origin-Server nicht bereits einen Content-Security-Policy-Header setzt — doppelte CSP-Header können zu Konflikten führen.

In welchem Cloudflare-Plan sind Transform Rules verfügbar?

Transform Rules sind in allen Cloudflare-Plänen verfügbar, einschließlich des kostenlosen Free-Plans. Die Anzahl der erlaubten Rules variiert je nach Plan (Free: 10 Rules).

Wird der Header sofort aktiv?

Ja. Cloudflare Transform Rules werden sofort nach dem Speichern aktiv — kein Deployment, kein Cache-Purge und kein DNS-Propagation nötig.

Wird der Header auch bei gecachten Responses gesetzt?

Ja. Transform Rules werden auf alle Responses angewendet, unabhängig davon, ob sie aus dem Cloudflare-Cache oder vom Origin-Server stammen.