Picto thématique

Règle n° 206 - Le serveur envoie les informations indiquant les domaines autorisés à intégrer ses pages dans des cadres.

Les cadres permettent d’afficher des morceaux de pages web à l’intérieur d’une page web. C’est par exemple le cas d’un cadre affichant une publicité dans une autre page web. Votre site peut également être embarqué depuis une autre page, par exemple pour le tester avec certains services. Cela peut aussi être fait avec de mauvaises intentions, notamment pour faire croire à un utilisateur peu prudent qu’il est bien sur votre site : il faut donc empêcher ce risque.

#Sécurité #Développement

Objectif

  • Réduire les risques d’utilisation trompeuse du contenu.

Mise en œuvre

Configurer le serveur pour l’envoi de l’en-tête HTTP X-Frame-Options avec la valeur deny (pour interdire toute inclusion de la page dans un cadre, quel qu’en soit le site) ou sameorigin (pour limiter les inclusions à des cadres du même nom de domaine que la page). La valeur allow-from (pour limiter les inclusions à des URL spécifiques) ne bénéficie pas, en revanche, à l’heure où nous écrivons ces lignes, d’un support suffisant.

Contrôle

Vérifier à l’aide d’un outil d’inspection des en-têtes HTTP la présence de X-Frame-Options avec la valeur deny ou sameorigin.

Auteur Opquast - Consulter la licence

Suivez la formation et passez la certification Opquast 100% en ligne.

La formation Maîtrise de la qualité en projet Web permet aux professionnels du web de travailler plus efficacement au sein d’équipes multidisciplinaires. Apprenez un vocabulaire, un cadre de travail et un état d’esprit communs pour produire des produits web de meilleure qualité et améliorer l’expérience utilisateur.

  • Une formation en ligne de 14 heures en autonomie, disponible 24h/24, 7j/7
  • Pour tous les professionnels du Web : marketing, commerciaux, chefs de projet, designers, développeurs, ingénieurs informatiques.
  • Une approche multidisciplinaire : SEO, accessibilité, écoconception…
    Pour tous les professionnels, débutants comme confirmés.
  • Un contenu reposant sur des bonnes pratiques et un vocabulaire adopté par une large communauté de professionnels
  • Des principes de conception centrés sur la diversité des utilisateurs
  • Déjà plus de 11.500 certifiés