X-Frame-Options für Laravel konfigurieren
Schritt-für-Schritt-Anleitung: X-Frame-Options in Laravel einrichten — mit Middleware-Code zum Kopieren und Best Practices.
X-Frame-Options in Laravel
X-Frame-Options schützt Ihre Laravel-Anwendung vor Clickjacking-Angriffen. Der Header verhindert, dass Ihre Seite in Frames oder iFrames eingebettet wird. In Kombination mit frame-ancestors in der CSP bietet er doppelten Schutz — mit 10 von 166 Punkten im Web Security Check.
Laravel setzt den Header über eine Middleware-Zeile. Für die meisten Anwendungen ist SAMEORIGIN die richtige Wahl — externe Einbettung wird blockiert, aber eigene iFrames funktionieren.
X-Frame-Options in der Middleware konfigurieren
Fügen Sie den Header in Ihrer SecurityHeaders-Middleware hinzu. Der Header wird bei jedem Response automatisch gesetzt.
// app/Http/Middleware/SecurityHeaders.php
// Clickjacking-Schutz: X-Frame-Options + CSP frame-ancestors
$response->headers->set('X-Frame-Options', 'SAMEORIGIN');
$response->headers->set('Content-Security-Policy',
"frame-ancestors 'self'"
);Konfiguration verifizieren
Prüfen Sie mit curl -sI https://ihre-domain.de | grep -i frame, ob der Header gesetzt ist.
Häufige Fehler
DENY vs SAMEORIGIN
DENY blockiert alle Einbettungen — auch eigene iFrames. Verwenden Sie SAMEORIGIN, wenn Ihre Anwendung iFrames für Preview-Funktionen oder Admin-Panels nutzt.
CSP frame-ancestors vergessen
X-Frame-Options wird von CSP frame-ancestors überschrieben. Setzen Sie beide Header für maximale Kompatibilität mit älteren Browsern.
Compliance-Relevanz
Wie steht Ihre Domain bei X-Frame-Options?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.