X-Frame-Options auf Strato konfigurieren
Clickjacking-Schutz auf Ihrem Strato Webhosting — X-Frame-Options per .htaccess setzen und CSP frame-ancestors als modernen Ersatz ergänzen.
Clickjacking-Schutz auf Strato
X-Frame-Options schützt Ihre Website vor Clickjacking-Angriffen, bei denen Angreifer Ihre Seite in einem unsichtbaren Iframe einbetten und Benutzer zu ungewollten Aktionen verleiten. Der Header ist mit 5 von 166 Punkten im Wolf-Agents Web Security Check vertreten.
Auf Strato Shared Hosting setzen Sie X-Frame-Options per .htaccess mit mod_headers. DENY blockiert jede Iframe-Einbettung, SAMEORIGIN erlaubt nur Einbettung von der eigenen Domain. Ergänzend sollten Sie CSP frame-ancestors setzen, da X-Frame-Options als veraltet gilt und nur noch aus Kompatibilitätsgründen genutzt wird.
Wichtig: Strato setzt keine eigenen X-Frame-Options-Header. Wenn Ihre Website Inhalte bereitstellt, die auf anderen Domains eingebettet werden sollen (z.B. Widgets), verwenden Sie SAMEORIGIN statt DENY.
X-Frame-Options auf Strato implementieren
Laden Sie die .htaccess-Datei per FTP in das Webroot-Verzeichnis hoch. Verwenden Sie DENY für maximalen Schutz oder SAMEORIGIN, wenn Sie eigene Iframes nutzen. Ergänzen Sie CSP frame-ancestors als modernen Standard.
# .htaccess — X-Frame-Options DENY (kein Iframe erlaubt)
<IfModule mod_headers.c>
Header always set X-Frame-Options "DENY"
</IfModule># .htaccess — X-Frame-Options SAMEORIGIN
# Erlaubt Iframe-Einbettung nur von der eigenen Domain
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>// PHP Fallback — für dynamische Seiten
<?php
header("X-Frame-Options: DENY");
// Ergänzend: CSP frame-ancestors (moderner Standard)
header("Content-Security-Policy: frame-ancestors 'none'");
?>X-Frame-Options ist ein Legacy-Header. Moderne Browser bevorzugen Content-Security-Policy: frame-ancestors 'none' (entspricht DENY) oder frame-ancestors 'self' (entspricht SAMEORIGIN). Setzen Sie beide Header gleichzeitig für maximale Kompatibilität.
Verifizierung
Prüfen Sie den X-Frame-Options-Header per curl. Bei Strato kann es einige Minuten dauern, bis die .htaccess wirksam wird. Testen Sie zusätzlich mit einem einfachen HTML-Iframe-Test, ob Ihre Seite tatsächlich blockiert wird.
# X-Frame-Options-Header pruefen
curl -sI https://ihre-domain.de | grep -i x-frame-options
# Erwartete Ausgabe:
# x-frame-options: DENYHäufige Fehler bei X-Frame-Options auf Strato
ALLOW-FROM wird von modernen Browsern nicht unterstützt
Die Direktive ALLOW-FROM wird von Chrome und Safari nicht unterstützt. Verwenden Sie stattdessen CSP frame-ancestors mit spezifischen Domains: frame-ancestors 'self' https://partner-domain.de.
.htaccess bei Strato ignoriert — mod_headers Konflikt
Stellen Sie sicher, dass der <IfModule mod_headers.c>-Block nach allen RewriteRule-Direktiven steht. Nutzen Sie Header always set statt Header set, damit der Header auch bei Fehlerseiten gesetzt wird.
WordPress-Plugins senden doppelte X-Frame-Options
Einige WordPress-Security-Plugins setzen X-Frame-Options automatisch. Prüfen Sie mit curl -sI, ob der Header doppelt gesendet wird — doppelte Header können zu unvorhersehbarem Browser-Verhalten führen.
Compliance-Relevanz
Clickjacking-Schutz ist in vielen Compliance-Frameworks als Grundanforderung für die Absicherung von Webanwendungen gefordert.
Wie steht Ihre Domain bei Clickjacking-Schutz?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.