Sécurisation des navigateurs web : Différence entre versions
(Page créée avec « Expliquer les notions des headers et comment les tester ») |
|||
| Ligne 1 : | Ligne 1 : | ||
Expliquer les notions des headers et comment les tester | Expliquer les notions des headers et comment les tester | ||
| + | |||
| + | |||
| + | '''X-FRAME-OPTIONS''' | ||
| + | |||
| + | L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’. | ||
| + | |||
| + | L’Intérêt cet en-tête est de se protéger des attaques de type « ClickJacking », en s’assurant que le contenu du site internet à protéger ne soient pas embarqués dans d’autres sites. | ||
| + | |||
| + | Utilisation du X-Frame-Options | ||
| + | |||
| + | Il est possible d’utiliser 3 valeurs de paramétrage : | ||
| + | |||
| + | '''DENY :''' La page ne pourra pas être affichée dans une balise <(i)frame> | ||
| + | |||
| + | '''SAMEORIGIN :''' La page ne pourra être affichée dans une balise <(i)frame>que si la page provient du même domaine et du même port (SOP : Same Origin Policy ) | ||
| + | |||
| + | '''ALLOW-FROM uri :''' La page ne pourra être affichée dans une balise <(i)frame> que si elle provient de l’origine spécifiée. | ||
| + | |||
| + | Si vous spécifions DENY, il sera impossible de faire des frames dans le site Internet, même avec des pages internes. | ||
| + | Si vous souhaitez intégrer des frames de votre site (même domaine), il faudra utiliser SAMEORIGIN mais il faudra faire attention que les pages à inclure soient présentes sur le même protocole (par exemple il n’est pas possible d’inclure la page http://www.docapost.fr/page1.html depuis la page https://www.docapost.fr/page2.html). | ||
| + | Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page. | ||
| + | |||
| + | Configuration | ||
| + | |||
| + | Bigip | ||
| + | |||
| + | Apache | ||
| + | |||
| + | IIS | ||
Version du 25 juillet 2018 à 11:33
Expliquer les notions des headers et comment les tester
X-FRAME-OPTIONS
L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’.
L’Intérêt cet en-tête est de se protéger des attaques de type « ClickJacking », en s’assurant que le contenu du site internet à protéger ne soient pas embarqués dans d’autres sites.
Utilisation du X-Frame-Options
Il est possible d’utiliser 3 valeurs de paramétrage :
DENY : La page ne pourra pas être affichée dans une balise <(i)frame>
SAMEORIGIN : La page ne pourra être affichée dans une balise <(i)frame>que si la page provient du même domaine et du même port (SOP : Same Origin Policy )
ALLOW-FROM uri : La page ne pourra être affichée dans une balise <(i)frame> que si elle provient de l’origine spécifiée.
Si vous spécifions DENY, il sera impossible de faire des frames dans le site Internet, même avec des pages internes. Si vous souhaitez intégrer des frames de votre site (même domaine), il faudra utiliser SAMEORIGIN mais il faudra faire attention que les pages à inclure soient présentes sur le même protocole (par exemple il n’est pas possible d’inclure la page http://www.docapost.fr/page1.html depuis la page https://www.docapost.fr/page2.html). Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page.
Configuration
Bigip
Apache
IIS