Clickjacking-Schutz in Contao konfigurieren
X-Frame-Options in Contao aktivieren — per Symfony EventSubscriber oder .htaccess. Mit Verifizierung und häufigen Fehlern.
Clickjacking-Schutz in Contao
X-Frame-Options und das modernere frame-ancestors in der CSP schützen vor Clickjacking-Angriffen. Mit 10 von 166 Punkten im Wolf-Agents Web Security Check ist dieser Schutz essentiell.
In Contao setzen Sie X-Frame-Options über einen Symfony EventSubscriber. Das Backend ist bereits durch Symfony geschützt — für das Frontend konfigurieren Sie den Header manuell.
In Contao-Projekten werden Security-Header typischerweise auf drei Ebenen konfiguriert: in der
config/config.yaml fuer Symfony-Framework-Header, per EventSubscriber
fuer dynamische Header und in der public/.htaccess fuer Apache-Level-Header.
Fuer Clickjacking-Schutz empfehlen wir die Konfiguration per EventSubscriber, da dieser die meiste
Flexibilitaet bietet und nicht von der Webserver-Konfiguration abhaengt.
Nach jeder Aenderung an der Header-Konfiguration muessen Sie den Contao-Cache leeren:
vendor/bin/contao-console cache:clear. Ohne Cache-Clear werden Aenderungen an
der config.yaml oder an EventSubscribern nicht wirksam. In Produktionsumgebungen
verwenden Sie cache:clear --env=prod fuer den korrekten Cache-Kontext.
Clickjacking-Schutz-Implementierung in Contao
Der EventSubscriber ist der empfohlene Weg — unabhängig vom Webserver, überlebt Updates. Die .htaccess ist der schnelle Fallback.
<?php
// src/EventSubscriber/XFrameOptionsSubscriber.php
namespace AppEventSubscriber;
use SymfonyComponentEventDispatcherEventSubscriberInterface;
use SymfonyComponentHttpKernelEventResponseEvent;
use SymfonyComponentHttpKernelKernelEvents;
class XFrameOptionsSubscriber implements EventSubscriberInterface {
public static function getSubscribedEvents(): array {
return [KernelEvents::RESPONSE => ['onResponse', 0]];
}
public function onResponse(ResponseEvent $event): void {
$response = $event->getResponse();
$response->headers->set('X-Frame-Options', 'SAMEORIGIN');
}
}# public/.htaccess — X-Frame-Options
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>Nach jeder Änderung: vendor/bin/contao-console cache:clear
Verifizierung
Nach der Konfiguration prüfen Sie den Header per curl. Testen Sie auf verschiedenen Seitentypen — Startseite, Detailseiten und Formulare.
# Cache leeren
vendor/bin/contao-console cache:clear
# Header prüfen
curl -sI https://ihre-domain.de | grep -i x-frame-options
# Erwartete Ausgabe:
# x-frame-options: SAMEORIGINHäufige Fehler bei Clickjacking-Schutz in Contao
contao-console cache:clear vergessen
Änderungen am EventSubscriber erfordern vendor/bin/contao-console cache:clear.
Content-Elemente in iFrames blockiert
SAMEORIGIN erlaubt nur Same-Domain iFrames. Für Cross-Origin-Embeds nutzen Sie frame-ancestors in der CSP.
Contao-Extension überschreibt X-Frame-Options
Prüfen Sie mit debug:event-dispatcher kernel.response die Subscriber-Reihenfolge.
Compliance-Relevanz
Die korrekte Implementierung von Clickjacking-Schutz ist nicht nur eine technische Best Practice, sondern eine Anforderung, die bei Sicherheitsaudits und Penetrationstests regelmaessig geprueft wird. Fehlende oder falsch konfigurierte Header koennen zu Audit-Findings fuehren und die Zertifizierung gefaehrden.
X-Frame-Options erfüllt Anforderungen aus mehreren Compliance-Frameworks.
Wie steht Ihre Domain bei Clickjacking-Schutz?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.