X-Frame-Options auf IONOS konfigurieren

Clickjacking-Schutz auf Ihrem IONOS Webhosting einrichten — X-Frame-Options per .htaccess setzen und frame-ancestors in CSP als modernen Ersatz nutzen.

Header prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Clickjacking-Schutz auf IONOS

X-Frame-Options verhindert, dass Ihre Website in einen iFrame auf einer fremden Seite eingebettet wird — der klassische Schutz gegen Clickjacking-Angriffe. Der Header ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check vertreten.

DENY blockiert jegliche Einbettung, SAMEORIGIN erlaubt sie nur von der eigenen Domain. Auf IONOS Shared Hosting setzen Sie den Header per .htaccess — ein Einzeiler genügt. Zusätzlich empfiehlt sich die CSP-Direktive frame-ancestors 'none' als moderner Ersatz.

Ausführliche Einführung in X-Frame-Options

X-Frame-Options auf IONOS implementieren

Für die meisten Websites ist DENY die richtige Wahl. Verwenden Sie SAMEORIGIN nur, wenn Sie eigene Seiten in iFrames auf Ihrer Domain einbetten müssen (z.B. für Preview-Funktionen).

.htaccess — DENY
.htaccess Empfohlen 
# .htaccess — X-Frame-Options DENY (empfohlen)
# Verhindert das Einbetten der Seite in jegliche iFrames
<IfModule mod_headers.c>
    Header always set X-Frame-Options "DENY"
</IfModule>
.htaccess — SAMEORIGIN
.htaccess Alternative 
# .htaccess — X-Frame-Options SAMEORIGIN
# Erlaubt Einbettung nur von der eigenen Domain
<IfModule mod_headers.c>
    Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>
Moderner Ersatz: frame-ancestors

Die CSP-Direktive frame-ancestors 'none' ist der moderne Ersatz für X-Frame-Options und bietet mehr Flexibilität. Setzen Sie beide Header für maximale Browser-Kompatibilität.

Verifizierung

Laden Sie die .htaccess per FTP hoch und prüfen Sie den Header.

Terminal Verifizierung 
# X-Frame-Options Header prüfen
curl -sI https://ihre-domain.de | grep -i x-frame-options

# Erwartete Ausgabe:
# x-frame-options: DENY

Häufige Fehler bei X-Frame-Options auf IONOS

Eigene Embeds werden blockiert

Wenn Sie auf Ihrer Domain iFrames mit eigenen Seiten nutzen (z.B. Preview-Funktionen), wird DENY diese blockieren. Wechseln Sie zu SAMEORIGIN oder nutzen Sie frame-ancestors 'self' in der CSP.

Doppelter Header durch WordPress-Plugin

Auf IONOS WordPress Hosting setzen Security-Plugins wie Wordfence oft eigene X-Frame-Options. Zwei unterschiedliche Werte (z.B. DENY und SAMEORIGIN) führen zu unvorhersehbarem Verhalten. Deaktivieren Sie den Header im Plugin oder in der .htaccess.

.htaccess Syntax-Fehler

Ein fehlender Zeilenumbruch oder falsche Anführungszeichen in der .htaccess können zu einem 500-Error führen. Testen Sie die Änderung mit einer einzelnen Regel und prüfen Sie das Error-Log im IONOS Control Panel.

Compliance-Relevanz

X-Frame-Options schützt vor Clickjacking — einer Angriffsform, bei der Benutzer zu ungewollten Aktionen verleitet werden.

NIS2Art. 21(e) — Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
OWASPOWASP Top 10 — Clickjacking-Schutz als Teil der Client-Side Security
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei X-Frame-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo