X-Frame-Options in die .htaccess packen

  • Moinsen,
    ich habe nun overlays im shop. Da zeige ich via iFrame html-Seiten an.
    Die html-Seiten liegen auf derselben Domain wie der shop.
    Jetzt möchte ich verhindern, das diese iFrame-Seiten von fremden Domains aus abgerufen werden können.
    Indexiert haben will ich sie aber schon, falls google das macht.


    Jetzt habe ich auf der Site hier diese "X-Frame-Options" gefunden. https://beispiel.rocks/htacces…urity-x-security-headers/


    Jetzt frage ich mich nur: Muss ich dieses

    Code
    # X-Frame-Options <IfModule mod_headers.c> 	Header always append X-Frame-Options SAMEORIGIN </IfModule>


    zwingend in die .htaccess der root packen oder genügt das auch in der .htaccess des Unterunterunterordners, in dem die iFrame-Seiten liegen?


    Und noch ne Frage:
    Bringen die anderen beiden Dingens was? Dieses "Protect against XSS attacks" und "Protect against content-sniffing"?
    Oder ist da der Server im allgemeinen schon abgesichert oder was auch immer, Alex?
    Oder bringt das irgendwelche Nachteile?

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • Die anderen beiden haben nicht wirklich was mit dem Server zu tun, sondern mit den Browsern, dass diese bestimmte Dinge nicht dürfen, wenn die Header gesetzt sind. Der X-Frames eigentlich auch, denn alles sind Response-Header. Der Server sendet die nur, hat sonst aber nix mehr mit zu tun.


    Dein X-Frame kannste im Grunde rein packen wo Du willst, wenn die entsprechende htaccess halt für die Files zuständig ist.