Möglicherweise möchten Sie zulassen, dass Ihre Website in einem iframe in einem anderen Fall eingebettet wird (z. B. um eine Vorlagenseite mit Ihren Websites zu erstellen). Wenn Sie zulassen, dass eine Website innerhalb eines iframe auf einer anderen Website geladen wird, können böswillige Akteure Ihre Website und Ihre Marke nutzen, um Besucher dazu zu verleiten, auf einen falschen Link zu klicken oder Daten an externe Quellen zu übermitteln. Aktivieren Sie diese Option nur, wenn die Website in einem iframe geladen werden soll.
Warnung
Standardmäßig ist die Möglichkeit, Ihre Website in einem iframe auf einer anderen Website zu laden, deaktiviert. Wir empfehlen, die Standardeinstellung nicht zu ändern, es sei denn, dies ist für Ihre spezielle Website obligatorisch. Websites, die vor dem 5. April 2020 erstellt wurden, dürfen in einem iframe angezeigt werden.
So aktivieren Sie die Möglichkeit, die Website in einem iframe zu laden:
-
Klicken Sie im linken Bereich auf Einstellungen und dann auf Website-SSL.
-
Klicken Sie auf den Schalter Laden der Website in einem iframe zulassen .
Die folgenden Sicherheitseinstellungen wurden implementiert, um Browsern mitzuteilen, dass die Website nicht innerhalb eines iframe geladen werden soll:
-
x-frame-optionen: SAMEORIGIN
-
content-security-policy: Frame-Vorfahren 'self'
Die x-frame-options -Einstellungen sind die Originalversion, während content-security-policy eine neuere Einstellung ist, die noch nicht von allen Browsern vollständig unterstützt wird. Diese teilen dem Browser mit, dass die Website nicht innerhalb eines Iframes geladen werden soll.
Diese Einstellungen sind standardmäßig umgesetzt, um die besten Sicherheitspraktiken standardmäßig zu implementieren. Die Tatsache, dass Websites standardmäßig nicht innerhalb eines iframe geladen werden können, ist ein kleiner Schritt, um zu verhindern, dass Websites für ClickJacking verwendet werden. Beim ClickJacking lädt ein böswilliger Benutzer die Website innerhalb eines Frames und nutzt dabei das Design der Website, um zu versuchen, Benutzer zur Weitergabe persönlicher Daten zu bewegen, die abgefangen oder erfasst werden können.