Protéger son site web avec l'en-tête X-Frame-Options

Hier je vous expliquais comment activer le mécanisme HSTS sur votre site Internet. Aujourd'hui, dans ce billet, je vais vous expliquer comment sécuriser son site avec l'en-tête X-FRAME-OPTIONS. L'objectif ici étant de faire toujours le max pour améliorer un peu la sécurité de la navigation web. Revenons un peu sur ce qu'apporte cette en-tête X-FRAME-OPTIONS avant de voir comment l'implémenter sur son serveur web.

JusteGeek.fr passé de F à D grâce à la mise en place de HSTS

JusteGeek.fr passé de F à D grâce à la mise en place de HSTS

 

A quoi sert l'en tête X-FRAME-OPTIONS ?

La balise iframe est une balise permettant d'afficher sur une page web le contenu d'une autre page. L'utilisation d'iframe est une pratique courante mais ces balises peuvent être utilisées pour de mauvaises intentions et devenir ainsi un vecteur d'attaques. En effet, il est possible pour un pirate d'embarquer une page web dans un iframe et d'en modifier le comportement... Il pourra ainsi duper l'internaute et récupérer des identifiants et mots de passe par exemple.

L'en-tête X-FRAME-OPTIONS va permettre d'interdire l'inclusion des pages dans des iframe. La directive X-FRAME-OPTIONS peut prendre 3 valeurs :

Deny : interdit tout chargement de la page à l'intérieur d'un iframe

Sameorigin : l'inclusion est autorisée seulement si la page appelante possède la même origine c'est à dire, même domaine, même protocole et même port.

Allow-from <url> :  permet d'autoriser explicitement des domaines à inclure la page dans un iframe.

 

Implémenter l'en-tête X-FRAME-OPTIONS sur son site web

Le site JusteGeek tourne sous Apache. J'ai donc décidé, pour ma part, d'activer l'en-tête X-FRAME-OPTIONS directement dans la configuration du serveur web. Pour faire cela, il suffit d'éditer le fichier /etc/apache2/conf-available/security.conf pour ajouter la ligne ci-dessous :

Header set X-Frame-Options: "sameorigin"

Bien sûr ici, vous pouvez positionner le paramètre de votre choix. Personnellement, j'ai utilisé le paramètre sameorigin.

 

Si vous n'avez pas accès à la configuration du serveur web, par exemple si vous êtes sur un hébergement mutualisé, sachez que vous pouvez positionner cette ligne dans le fichier .htaccess du site internet.

 

Conclusion

La mise en place de cet en-tête X-FRAME-OPTIONS est une opération relativement facile à mettre en oeuvre. Cela n'est bien évidemment pas la solution ultime pour être sécurisé à 100%, mais cela constitue une pierre à l'édifice qu'est la sécurité d'un site web. En activant ce mécanisme, la note du site JusteGeek chez SecurityHeaders est passée de D à... D.

JusteGeek.fr passé de D à D suite à la mise en place de l'en-tête X-FRAME-OPTIONS

JusteGeek.fr passé de D à D suite à la mise en place de l'en-tête X-FRAME-OPTIONS

Bon après, la notation de ce site, ça vaut ce que ça vaut. Mais il reste préférable d'activer cette option 🙂 Je vous proposerai dans les prochains jours d'autres tutoriels de ce genre.

 

Steven

Ingénieur Systèmes passionné d'informatique et de High-Tech, Sandstorm a créé JusteGeek.fr en 2013. Il aime les geekeries en tout genre. "Si un produit s'allume c'est un bon point. S'il est connecté, c'est encore mieux !"

Vous aimerez aussi...

2 réponses

  1. Raoul Lefebvre dit :

    Merci pour votre article !

    j'ai juste mon propre site Web - https://lacomparaison.fr/aspirateur-laveur/

    je vais essayer de le protéger grâce à vos conseils

  2. Yves dit :

    Bonjour,
    Quelle est la valeur par défaut si cette option n'est pas activée ?
    Cdt,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.