Base de connaissances
1 000 FAQ, 500 tutoriels et vidéos explicatives. Ici, il n'y a que des solutions !
Mise en place du header "X-Frame-Options"
Ce guide détaille le header "X-Frame-Options", utilisé pour protéger votre site contre les attaques de clickjacking (détournement de clic).
La valeur ALLOW-FROM est désormais obsolète. Pour autoriser un domaine spécifique, il est recommandé d'utiliser le header Content-Security-Policy (CSP) avec la directive frame-ancestors.
Valeurs pour le header X-Frame-Options
Ce header indique au navigateur s'il doit autoriser ou non l'affichage de votre page dans une balise <frame> ou <iframe>.
- "DENY" : Interdiction totale. Le site ne peut être chargé dans aucun cadre, même provenant de votre propre site.
- "SAMEORIGIN" : Autorise l'affichage en iframe uniquement si le site parent a le même domaine que le contenu.
Implémenter l'en-tête
Via le fichier .htaccess (recommandé pour tout le site) :
Header set X-Frame-Options "SAMEORIGIN"Ou via PHP (pour une page spécifique) :
<?php
header('X-Frame-Options: SAMEORIGIN');
?>L'alternative moderne : Content-Security-Policy (CSP)
Si vous devez autoriser un site externe spécifique (ex: domain.xyz) à intégrer votre contenu, n'utilisez plus X-Frame-Options mais le header suivant dans votre .htaccess :
Header set Content-Security-Policy "frame-ancestors 'self' https://domain.xyz"Cette règle autorise votre propre site ('self') ainsi que domain.xyz à vous afficher dans une iframe.
Lien vers cette FAQ:
Cette FAQ a été utile?