Möglicherweise möchten Sie zulassen, dass Ihre Website in einem iframe in einem anderen Fall eingebettet wird (z. B. um eine Vorlagenseite mit Ihren Websites zu erstellen). Wenn Sie zulassen, dass eine Website innerhalb eines iframe auf einer anderen Website geladen wird, können böswillige Akteure Ihre Website und Ihre Marke nutzen, um Besucher dazu zu verleiten, auf einen falschen Link zu klicken oder Daten an externe Quellen zu übermitteln. Aktivieren Sie diese Option nur, wenn die Website in einem iframe geladen werden soll.
So aktivieren Sie die Möglichkeit, die Website in einem iframe zu laden:
- Klicken Sie in der linken Seitenleiste auf Einstellungen und dann auf Website-SSL.
- Klicken Sie auf den Umschalter Zulassen, dass die Webseite in einem iFrame geladen wird.
Sicherheitseinstellungen
Die folgenden Sicherheitseinstellungen wurden implementiert, um Browsern mitzuteilen, dass die Website nicht innerhalb eines iframe geladen werden soll:
- x-frame-options: SAMEORIGIN
- content-security-policy: frame-ancestors 'self'
Die Einstellung x-frame-options ist die Originalversion, während content-security-policy eine neuere Einstellung ist, die noch nicht vollständig von allen Browsern unterstützt wird. Diese teilen Browsern mit, dass die Website nicht innerhalb eines iframe geladen werden soll.
Diese Einstellungen sind standardmäßig umgesetzt, um die besten Sicherheitspraktiken standardmäßig zu implementieren. Die Tatsache, dass Websites standardmäßig nicht innerhalb eines iframe geladen werden können, ist ein kleiner Schritt, um zu verhindern, dass Websites für ClickJacking verwendet werden. Beim ClickJacking lädt ein böswilliger Benutzer die Website innerhalb eines Frames und nutzt dabei das Design der Website, um zu versuchen, Benutzer zur Weitergabe persönlicher Daten zu bewegen, die abgefangen oder erfasst werden können.