Sécurisation des navigateurs web : Différence entre versions
| Ligne 1 : | Ligne 1 : | ||
Expliquer les notions des headers et comment les tester | Expliquer les notions des headers et comment les tester | ||
| − | + | ===<div style="color:#FFFFFF; background-color: #046AAF">'''X-FRAME-OPTIONS'''</div>=== | |
| − | '''X-FRAME-OPTIONS''' | ||
L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’. | L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’. | ||
| Ligne 22 : | Ligne 21 : | ||
Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page. | Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page. | ||
| − | Configuration | + | ===<div style="color:#FFFFFF; background-color: #707173">'''Configuration'''</div>=== |
| + | |||
| + | <btn class="btn-primary"> | ||
| + | x-frame-options-bigip|Bigip | ||
| + | </btn> | ||
| + | |||
| + | <btn class="btn-primary"> | ||
| + | x-frame-options-Apache|Apache | ||
| + | </btn> | ||
| + | |||
| + | <btn class="btn-primary"> | ||
| + | x-frame-options-iis|IIS | ||
| + | </btn> | ||
| + | |||
| + | ===<div style="color:#FFFFFF; background-color: #046AAF">'''X-XSS-Protection'''</div>=== | ||
| + | |||
| + | Cet en-tête permet d’activer les filtres anti-xss incorporés dans certains navigateurs. Seuls Internet Explorer, Google Chrome et Safari (WebKit) supportent cet en-tête. | ||
| + | |||
| + | Les réglages suivants sont valides : | ||
| + | |||
| + | 0 : Désactive les protections XSS du navigateur | ||
| + | 1 : Active les protections XSS du navigateur | ||
| + | 1; mode=block : Active la protection XSS du navigateur et bloque la réponse au lieu de nettoyer les valeurs | ||
| + | 1; report=http://site.com/report : Directive spécifique à Chrome et WebKit lui indiquant d’envoyer, via une requête POST, l’attaque XSS potentielle à l’url spécifiée au format JSON. | ||
| + | |||
| + | ===<div style="color:#FFFFFF; background-color: #707173">'''Configuration'''</div>=== | ||
| − | Bigip | + | <btn class="btn-primary"> |
| + | x-xss-protection-bigip|Bigip | ||
| + | </btn> | ||
| − | Apache | + | <btn class="btn-primary"> |
| + | x-xss-protection-Apache|Apache | ||
| + | </btn> | ||
| − | IIS | + | <btn class="btn-primary"> |
| + | x-xss-protection-iis|IIS | ||
| + | </btn> | ||
Version du 25 juillet 2018 à 11:40
Expliquer les notions des headers et comment les tester
X-FRAME-OPTIONS
L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’.
L’Intérêt cet en-tête est de se protéger des attaques de type « ClickJacking », en s’assurant que le contenu du site internet à protéger ne soient pas embarqués dans d’autres sites.
Il est possible d’utiliser 3 valeurs de paramétrage :
- DENY : La page ne pourra pas être affichée dans une balise <(i)frame>
- SAMEORIGIN : La page ne pourra être affichée dans une balise <(i)frame>que si la page provient du même domaine et du même port (SOP : Same Origin Policy )
- ALLOW-FROM uri : La page ne pourra être affichée dans une balise <(i)frame> que si elle provient de l’origine spécifiée.
Si vous spécifions DENY, il sera impossible de faire des frames dans le site Internet, même avec des pages internes. Si vous souhaitez intégrer des frames de votre site (même domaine), il faudra utiliser SAMEORIGIN mais il faudra faire attention que les pages à inclure soient présentes sur le même protocole (par exemple il n’est pas possible d’inclure la page http://www.docapost.fr/page1.html depuis la page https://www.docapost.fr/page2.html). Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page.
Configuration
X-XSS-Protection
Cet en-tête permet d’activer les filtres anti-xss incorporés dans certains navigateurs. Seuls Internet Explorer, Google Chrome et Safari (WebKit) supportent cet en-tête.
Les réglages suivants sont valides :
0 : Désactive les protections XSS du navigateur 1 : Active les protections XSS du navigateur 1; mode=block : Active la protection XSS du navigateur et bloque la réponse au lieu de nettoyer les valeurs 1; report=http://site.com/report : Directive spécifique à Chrome et WebKit lui indiquant d’envoyer, via une requête POST, l’attaque XSS potentielle à l’url spécifiée au format JSON.