Clickjacking-Schutz für Netlify konfigurieren

Schritt-für-Schritt-Anleitung: X-Frame-Options und CSP frame-ancestors auf Netlify einrichten — Embedding kontrollieren und Clickjacking verhindern.

Header prüfen Plattform entdecken

Netlify · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

Clickjacking-Schutz auf Netlify

X-Frame-Options und CSP frame-ancestors verhindern, dass Ihre Website in fremde iFrames eingebettet wird. Clickjacking-Schutz ist mit 10 von 166 Punkten ein relevanter Faktor im Wolf-Agents Web Security Check.

Auf Netlify setzen Sie beide Header per netlify.toml oder _headers. Für Seiten, die eingebettet werden müssen (z.B. Widgets), können Sie pfadspezifische Ausnahmen definieren. CSP frame-ancestors ist der moderne Ersatz für X-Frame-Options und bietet granulare Kontrolle über erlaubte Embedding-Domains.

Ausführliche Einführung in Clickjacking-Schutz

1 Schritt 1 von 3

X-Frame-Options Header setzen

DENY verhindert jegliches Embedding — auch von der eigenen Domain. SAMEORIGIN erlaubt Embedding nur von derselben Domain. Für die meisten Websites ist DENY die sicherste Wahl.

# netlify.toml — X-Frame-Options
[[headers]]
  for = "/*"
  [headers.values]
    X-Frame-Options = "DENY"

# _headers — X-Frame-Options
/*
  X-Frame-Options: DENY

2 Schritt 2 von 3

CSP frame-ancestors ergänzen

CSP frame-ancestors ist der moderne Ersatz für X-Frame-Options und bietet mehr Kontrolle. Setzen Sie beide Header für maximale Kompatibilität — ältere Browser nutzen X-Frame-Options, moderne Browser bevorzugen frame-ancestors.

# netlify.toml — Clickjacking-Schutz komplett
[[headers]]
  for = "/*"
  [headers.values]
    X-Frame-Options = "DENY"
    Content-Security-Policy = "frame-ancestors 'none'"

# Embeddable Widgets erlauben
[[headers]]
  for = "/embed/*"
  [headers.values]
    X-Frame-Options = "SAMEORIGIN"
    Content-Security-Policy = "frame-ancestors 'self' https://partner-domain.de"

frame-ancestors vs. X-Frame-Options

Wenn der Browser sowohl CSP frame-ancestors als auch X-Frame-Options empfaengt, hat frame-ancestors Vorrang. X-Frame-Options wird nur als Fallback für ältere Browser verwendet.

3 Schritt 3 von 3

Header verifizieren

Prüfen Sie den Clickjacking-Schutz nach dem Deploy per curl oder mit dem Wolf-Agents Web Security Check.

# X-Frame-Options prüfen
curl -sI https://ihre-domain.de | grep -i "x-frame-options\|frame-ancestors"

# Erwartete Ausgabe:
# X-Frame-Options: DENY
# Content-Security-Policy: frame-ancestors 'none'

Häufige Fehler

ALLOW-FROM ist veraltet

X-Frame-Options: ALLOW-FROM wird von modernen Browsern nicht mehr unterstützt. Verwenden Sie stattdessen CSP frame-ancestors.

Deploy Preview Embedding

Deploy Previews erhalten denselben X-Frame-Options-Header. Wenn Sie Previews in einem Review-Tool einbetten, verwenden Sie SAMEORIGIN statt DENY.

Konflikte mit CSP

Wenn Ihre CSP bereits frame-ancestors enthält, kann ein separater CSP-Header Konflikte verursachen. Integrieren Sie frame-ancestors in Ihre bestehende CSP.

Compliance-Relevanz

Clickjacking-Schutz ist eine OWASP Top 10 Anforderung. NIS2 und PCI DSS fordern Maßnahmen gegen bekannte Angriffstypen — Clickjacking ist ein klassischer UI-Redressing-Angriff. Der Wolf-Agents Web Security Check bewertet den Clickjacking-Schutz mit bis zu 10 Punkten und prüft sowohl X-Frame-Options als auch CSP frame-ancestors.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal IONOS All-Inkl Shopware Contao Strato Joomla PHP Spring Boot Nuxt Vercel LiteSpeed AWS CloudFront

Wie steht Ihre Domain bei Clickjacking-Schutz?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo