X-Frame-Options in die .htaccess packen

    Moinsen,
    ich habe nun overlays im shop. Da zeige ich via iFrame html-Seiten an.
    Die html-Seiten liegen auf derselben Domain wie der shop.
    Jetzt möchte ich verhindern, das diese iFrame-Seiten von fremden Domains aus abgerufen werden können.
    Indexiert haben will ich sie aber schon, falls google das macht.

    Jetzt habe ich auf der Site hier diese "X-Frame-Options" gefunden. https://beispiel.rocks/htaccessbook.c…curity-headers/

    Jetzt frage ich mich nur: Muss ich dieses

    Code
    # X-Frame-Options <IfModule mod_headers.c> 	Header always append X-Frame-Options SAMEORIGIN </IfModule>


    zwingend in die .htaccess der root packen oder genügt das auch in der .htaccess des Unterunterunterordners, in dem die iFrame-Seiten liegen?

    Und noch ne Frage:
    Bringen die anderen beiden Dingens was? Dieses "Protect against XSS attacks" und "Protect against content-sniffing"?
    Oder ist da der Server im allgemeinen schon abgesichert oder was auch immer, Alex?
    Oder bringt das irgendwelche Nachteile?

    Wer zuerst "Datenschutz" sagt, hat verloren.

    Die anderen beiden haben nicht wirklich was mit dem Server zu tun, sondern mit den Browsern, dass diese bestimmte Dinge nicht dürfen, wenn die Header gesetzt sind. Der X-Frames eigentlich auch, denn alles sind Response-Header. Der Server sendet die nur, hat sonst aber nix mehr mit zu tun.

    Dein X-Frame kannste im Grunde rein packen wo Du willst, wenn die entsprechende htaccess halt für die Files zuständig ist.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(