En-tĂȘte de sĂ©curitĂ© X-Frame-Options et outils de test responsive

Christine Siembida
En-tĂȘte de sĂ©curitĂ© X-Frame-Options et outils de test responsive
7 mn de lecture
Partagez 😉
Share on Pinterest Share on LinkedIn

Vous essayez de tester le responsive d'un site Web via des outils en ligne et celui-ci ne s'affiche pas ? C'est sĂ»rement dĂ» Ă  l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options implĂ©mentĂ© sur le site.

En effet, ce n'est pas l'outil en question qui ne fonctionne pas. C'est juste que la plupart de ces outils tels que XRespond, Screenfly ou autres chargent le site Web dans un iframe pour tester sa réactivité.

Ainsi, si l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options a pour paramĂštre DENY ou SAMEORIGIN, le navigateur refusera d'intĂ©grer la page Web dans un iframe.

Dans cet article, je vous explique donc dans les grandes lignes :

  • Ce qu'est un iframe et le clickjacking
  • À quoi sert l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options
  • Comment faire en sorte que le site s'affiche dans un iframe lorsqu'il est protĂ©gĂ© par cet en-tĂȘte

Qu'est-ce qu'un iframe et en quoi peut-il ĂȘtre dangereux

En bref, un iframe est une balise servant à afficher le contenu d'une autre page Web sur une page Web. Il est souvent utilisé pour intégrer des vidéos, des cartes et d'autres médias. Le problÚme est que certaines personnes l'emploient à des fins malveillantes.

En effet, un hacker peut se servir d'un iframe pour embarquer une page web et en modifier le comportement. C'est ce que l'on appelle communément une attaque par détournement de clic ou clickjacking.

Techniquement, l'attaquant crée un site Web d'apparence légitime et y intÚgre un site Web malveillant via un iframe. L'iframe est invisible et sert à superposer du contenu caché au-dessus des éléments cliquables du site Web légitime. Le visiteur croit alors cliquer sur un contenu sur la page visible. Mais en fait, il clique sur un élément invisible de la page superposée.

Cela peut amener les utilisateurs Ă  :

  • TĂ©lĂ©charger involontairement des logiciels malveillants
  • Fournir des informations d'identification ou des informations sensibles
  • Visiter des pages Web malveillantes
  • TransfĂ©rer de l'argent
  • Acheter des produits en ligne

Comme vous pouvez le constater, autoriser les iframes sur votre site peut ĂȘtre dangereux. Pour contrer cela, il existe une solution : implĂ©menter l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options.

À quoi sert l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options

L'en-tĂȘte de sĂ©curitĂ© X-Frame-Options aussi appelĂ© en-tĂȘte de rĂ©ponse HTTP est une fonctionnalitĂ© de sĂ©curitĂ© assez ancienne. Son but est d'aider Ă  lutter contre les attaques par dĂ©tournement de clic. Globalement, il indique Ă  un navigateur s'il est autorisĂ© ou non Ă  afficher une page dans un iframe.

Il existe trois paramĂštres possibles pour l'en-tĂȘte X-Frame-Options :

  • DENY qui interdit le chargement d'une page dans un iframe, quel que soit le site
  • SAMEORIGIN qui permet de charger la page dans un iframe uniquement si elle est affichĂ©e sur une page du mĂȘme domaine
  • ALLOW-FROM qui permet Ă  la page d'ĂȘtre chargĂ©e uniquement dans un iframe du domaine d'origine et/ou un domaine spĂ©cifiĂ©

Sur mes sites metaforweb.com et metaforweb.fr, cet en-tĂȘte de sĂ©curitĂ© est prĂ©sent dans le fichier .htaccess et dĂ©fini sur SAMEORIGIN :

<IfModule mod_headers.c>
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

On peut constater dans les ChromeDevtools que le navigateur le voit :

en-tĂȘte de sĂ©curitĂ© X-Frame-Options rĂ©glĂ©e sur SAMEORIGIN

VoilĂ  ce qu'il se passe lorsque je veux tester le responsive de mon site metaforweb.fr avec XRespond :

  • 1. XRespond essaie de charger le site dans un iframe.
  • 2. Le navigateur ausculte le site et voit qu'il existe des directives d'en-tĂȘte de sĂ©curitĂ©.
  • 3. X-Frame-Options lui signale que le site n'est autorisĂ© Ă  ĂȘtre chargĂ© dans un iframe que sur le domaine metaforweb.fr (SAMEORIGIN).
  • 4. Le navigateur obĂ©it Ă  la rĂšgle et n'affiche pas le site dans l'iframe. Au survol de la souris, on peut voir "metaforweb.fr n'autorise pas la connexion".
ImpossibilitĂ© d'afficher un site lors d'un test responsive Ă  cause de l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options

Vous l'avez compris, X-Frame-Options protĂšge mes sites, mais il m'est impossible d'utiliser les outils en ligne de test responsive ou autres. Alors, pour contourner ce problĂšme, j'utilise une technique pour dĂ©sactiver l'en-tĂȘte X-Frame-Options temporairement...

RĂ©soudre le problĂšme d'affichage d'un site dans un iframe en dĂ©sactivant l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options

Afin de pouvoir afficher un site dans un iframe lorsqu'un en-tĂȘte de sĂ©curitĂ© X-Frame-Options est en place, c'est simple.

Installez l'extension de navigateur Chrome Ignore X-Frame headers.

Il s'agit d'une extension qui supprime les en-tĂȘtes de rĂ©ponse HTTP X-Frame-Options et Content-Security-Policy. Elle permet donc d'afficher n'importe quelle page d'un site dans un iframe.

extension Chrome Ignore X-frame headers pour dĂ©sactiver les en-tĂȘtes de sĂ©curitĂ© X-Frame-Options

Activez l'extension en cliquant sur "Tous les sites". Cela supprimera l'en-tĂȘte X-frame-options pour tous les onglets ouverts.

Vous pourrez donc dorénavant tester le responsive d'un site ou générer un mockup multi-appareils (multi device website generator) sans problÚme.

Pour exemple, voici le résultat pour le test responsive de metaforweb.fr avec XRespond lorsque l'extension est active :

test responsive XRespond avec e-tĂȘte de sĂ©curitĂ© X-Frame-Options dĂ©sactivĂ©

⚠  Attention, n'utilisez cette extension que temporairement et uniquement Ă  des fins de test ou de dĂ©pannage.

En effet, elle désactive d'importants mécanismes de sécurité du navigateur.

Alors, n'oubliez pas de la dĂ©sactiver lorsque vous n'en avez plus besoin en la rĂ©glant sur "Lorsque vous cliquez sur l'extension". 😉

Installer Ignore X-Frame headers

RĂ©flexion finale sur l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options

Dans cet article, je vous ai expliqué ce qu'est un iframe, à quoi il sert et aussi la vulnérabilité qu'il peut occasionner à un site.

Je vous ai Ă©galement parlĂ© de l'en-tĂȘte de sĂ©curitĂ© X-Frame-Options et de la façon de le dĂ©sactiver pour pouvoir utiliser certains outils en ligne.

DĂ©sormais, avec cette astuce, vous n'aurez plus aucun problĂšme pour gĂ©nĂ©rer des mockups de site Web multi-appareils ou encore tester le responsive d'un site Web. 😉

PS : X-Frame-Options n'est pas le seul en-tĂȘte de sĂ©curitĂ© Ă  mettre en place pour la sĂ©curitĂ© de votre site Web.

Alors si le sujet des en-tĂȘtes de sĂ©curitĂ© (HTTP security headers) vous intĂ©resse, sachez que cela fera l'objet d'un prochain article


Partagez 😉
Share on Pinterest Share on LinkedIn

Soumettre un commentaire 💬

guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires
Photo de profil pour Christine Siembida

Hello, moi, c'est Christine 👋. Je suis crĂ©atrice, optimisatrice, dĂ©panneuse de sites Web WordPress et aussi rĂ©dactrice Web SEO. Sur ce blog, je vous partage des astuces pour crĂ©er, sĂ©curiser et optimiser la performance, l’accessibilitĂ© et le SEO de votre site WordPress et Ă©galement des ressources Web gratuites.

Vous pourriez aussi aimer...