Verhindern der Einbettung von Iframes von Drittanbietern

Websitebesitzer stehen häufig vor dem Problem, dass ihre Seiten in Frames (Iframes) von Drittanbietern eingebettet werden Websites. Während sich der Referrer-Request-Header bei der Erkennung dieses Szenarios beim Laden der Seite als unwirksam erweist, gibt es mehrere Ansätze, dieses Problem zu beheben.

JavaScript-Erkennung

Nach dem Laden der Seite wird JavaScript kann verwendet werden, um zu erkennen, ob es innerhalb eines Frames angezeigt wird. Durch den Vergleich der Top- und Self-Eigenschaften kann man feststellen, ob die Seite eingebettet ist. Wenn sie sich unterscheiden, befindet sich die Seite innerhalb eines Iframes.

X-FRAME-OPTIONS-Header

Einige moderne Browser unterstützen den X-FRAME-OPTIONS-Header, der zwei bietet Optionen:

• DENY: Verhindert das Laden der Seite, wenn sie sich innerhalb eines befindet iframe
• SAMEORIGIN: Beschränkt das Laden auf dieselbe Domain wie der übergeordnete Frame

Browser wie Picasa respektieren diesen Header und verhindern die Einbettung von Websites Dritter.

Browser-Unterstützung für X-FRAME-OPTIONS-Header

Browser, die unterstützen Zu den X-FRAME-OPTIONS mit ihren Mindestversionen gehören:

• IE8 und IE9
• Opera 10.50
• Safari 4
• Chrome 4.1.249.1042
• Firefox 3.6.9 (oder älter mit NoScript-Erweiterung)