X-Frame-Options für TYPO3 konfigurieren

Clickjacking-Schutz in TYPO3: X-Frame-Options und CSP frame-ancestors — Backend automatisch geschützt, Frontend manuell konfigurieren.

Headers prüfen Plattform entdecken

TYPO3 · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Clickjacking-Schutz in TYPO3

X-Frame-Options und CSP frame-ancestors verhindern, dass Ihre Website in fremden Iframes eingebettet wird — der primäre Schutz gegen Clickjacking-Angriffe. Der Header ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check bewertet.

TYPO3 setzt im Backend automatisch X-Frame-Options: SAMEORIGIN. Im Frontend müssen Sie den Header manuell per TypoScript oder PSR-15 Middleware konfigurieren. Wir empfehlen, beide Header parallel zu setzen für maximale Browser-Kompatibilität.

Ausführliche Einführung in Clickjacking-Schutz

1Implementierung

Header per TypoScript setzen

Setzen Sie sowohl X-Frame-Options als auch frame-ancestors in der CSP. Der CSP-Wert hat bei Browsern, die beide Header unterstützen, Vorrang.

# TypoScript Setup — Clickjacking-Schutz
config.additionalHeaders {
    10.header = X-Frame-Options: SAMEORIGIN
    20.header = Content-Security-Policy: frame-ancestors 'self'
}

Backend vs. Frontend

TYPO3 setzt X-Frame-Options: SAMEORIGIN automatisch für das Backend. Die TypoScript-Konfiguration gilt nur für das Frontend. Beide Bereiche sind unabhängig voneinander geschützt.

2Verifizierung

Header verifizieren

Leeren Sie den TYPO3-Cache und prüfen Sie den Header.

vendor/bin/typo3 cache:flush
curl -sI https://ihre-domain.de | grep -iE "x-frame|frame-ancestors"

Häufige Fehler

Iframe-Einbettungen blockiert

Wenn Sie Inhalte in eigenen Iframes einbetten (z.B. Newsletter-Vorschau), verwenden Sie SAMEORIGIN statt DENY. Für Cross-Origin-Iframes nutzen Sie frame-ancestors 'self' https://trusted.example.com.

Widersprüchliche Header

Wenn die CSP frame-ancestors 'none' setzt, aber X-Frame-Options SAMEORIGIN — gilt der CSP-Wert. Halten Sie beide Header konsistent.

Compliance-Relevanz

Clickjacking-Schutz ist Teil der OWASP Top 10 Empfehlungen und wird von NIS2 als technische Sicherheitsmaßnahme gewertet. Der Wolf-Agents Web Security Check prüft sowohl X-Frame-Options als auch frame-ancestors und bewertet die Konsistenz beider Header.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify Hetzner Laravel Drupal IONOS All-Inkl Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei X-Frame-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo