X-Frame-Options

Prüft X-Frame-Options — blockiert iframe-Embedding gegen Clickjacking.

Was dieser Check misst

Wir lesen den `X-Frame-Options`-Header. Empfohlen: `DENY` oder `SAMEORIGIN`. Moderner Ersatz ist CSP `frame-ancestors` — idealerweise beides.

Warum es wichtig ist

Verhindert Clickjacking: Angreifer rahmt deine Site unsichtbar über eigenem UI und lässt Nutzer versteckte Aktionen klicken. Banking/Admin MUSS das shippen.

Wie unser Audit es erkennt

X-Frame-Options-Header lesen. Akzeptiert: DENY, SAMEORIGIN. Flag fehlend oder ALLOW-FROM (obsolet).

Typische Findings

error_outlineHeader fehlt — Site kann von jedem eingebettet werden.
error_outlineWert = ALLOW-FROM — obsolet, von Browsern ignoriert.

So behebst du es

`X-Frame-Options: DENY` setzen, ausser Embedding auf eigener Domain nötig (dann SAMEORIGIN). Kombinieren mit CSP `frame-ancestors 'none'`.

Copy-Paste Fix-Prompt für deinen Stack

Lovable · Cursor · Bolt · v0 · Replit · Windsurf · Claude Code · Base44

Zum Fix-Prompt →

Häufige Fragen

DENY bricht mein OAuth-Popup?expand_more

OAuth-Redirects funktionieren — DENY blockt nur iframe-Embedding, nicht Navigation.

Soll das auf deiner Site geprüft werden?

Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.

Site scannen

X-Frame-Options

Was dieser Check misst

Warum es wichtig ist

Wie unser Audit es erkennt

Typische Findings

So behebst du es

Häufige Fragen

Soll das auf deiner Site geprüft werden?

Ähnliche Checks

HTTPS aktiv

TLS-Version

Mixed Content

SSL-Zertifikat