M 4.406 Verhinderung von Clickjacking

Verantwortlich für Initiierung: Leiter Entwicklung, Verantwortliche der einzelnen Anwendungen

Verantwortlich für Umsetzung: Entwickler, Administrator

Wird die Webanwendung Ziel eines Clickjacking-Angriffs, so werden Inhalte der Webanwendung in einem nicht sichtbaren Frame eingebunden. Besucht ein Benutzer eine Webseite, in der dieser Frame eingebunden ist, so werden Klicks auf sichtbare Inhalte unwissentlich vom unsichtbaren Frame abgefangen. Ist der Benutzer an der Webanwendung angemeldet, so können auf diese Weise zugriffsgeschützte Aktionen in der Webanwendung unbefugt ausgeführt werden. Um dies zu vermeiden, muss die Webanwendung sicherstellen, dass die Inhalte der eigenen Webanwendung nicht in Frames verwendet werden.

Daher sollten folgende Gegenmaßnahmen zur Verhinderung von Clickjacking umgesetzt werden:

Prüffragen: