1 000 FAQ, 500 tutoriels et vidéos explicatives. Ici, il n'y a que des solutions !
Mise en place du header "X-Frame-Options"
Ce guide détaille le header "X-Frame-Options" qui peut être utilisé dans le but de se protéger notamment d’attaque de clickjacking. Notez que le header "X-Frame-Options" peut ne pas être supporté par tous les navigateurs Web. Il est donc conseillé de le combiner avec d'autres méthodes pour renforcer la sécurité de votre site Web.
Valeurs possibles pour le header
‍Le header "X-Frame-Options" peut être défini pour empêcher un site Web d'être chargé dans un cadre ou une iframe. Il existe trois valeurs possibles pour ce header:
- "DENY": le site web ne peut pas être chargé dans un cadre ou une iframe
- "SAMEORIGIN": le site web peut être chargé dans un cadre ou une iframe seulement si la source du cadre ou de l'iframe appartient au même domaine que le site web
- "ALLOW-FROM uri": le site web peut être chargé dans un cadre ou une iframe uniquement à partir de l'URI spécifié
Vous pouvez définir ce header en ajoutant les lignes suivantes à votre fichier .htaccess:
Header set X-Frame-Options "DENY"
ou en utilisant la fonction header() de PHP car celui-ci est exécuté en FPM, de la même manière que lors de la désactivation du HSTS par exemple:
header('X-Frame-Options: DENY');
Remplacez "DENY" par la valeur souhaitée pour ce header.