Wie verhindert man Clickjacking?¶

Kernidee: Clientseitige Frame-Buster (JavaScript) sind leicht zu umgehen. Zuverlässig ist serverseitiges Framing-Blocking über Browser-Header:

1) X-Frame-Options (Legacy, ergänzend)¶

Komplett verbieten:
```
X-Frame-Options: DENY
```
Nur gleiche Origin:
```
X-Frame-Options: SAMEORIGIN
```
ALLOW-FROM <url> ist inkonsistent/überholt (z. B. in Chrome/Safari nicht unterstützt). Nutze dafür besser CSP frame-ancestors.

2) Content Security Policy (empfohlen)¶

Mit frame-ancestors steuerst du, wer dich einbetten darf: - Alles verbieten (stark):

Content-Security-Policy: frame-ancestors 'none'; - Nur gleiche Origin:

Content-Security-Policy: frame-ancestors 'self'; - Konkrete Partner erlauben:

Content-Security-Policy: frame-ancestors 'self' https://partner.example;

frame-ancestors schützt gegen Einbettung in <iframe>, <frame>, <object>, <embed>. Für moderne Sites ist CSP die primäre Maßnahme; XFO kannst du zusätzlich setzen (Defense-in-Depth).