À propos du Header "X-FRAME-OPTIONS"

Réduire
X
Réduire
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • lendrevi
    a crée un sujet [RÉGLÉ] À propos du Header "X-FRAME-OPTIONS"

    À propos du Header "X-FRAME-OPTIONS"

    Bonjour,

    Mon environnement: Joomla 3.9.4, plugin SYSTEM-HTTPheaders

    J'ai protégé mon site avec tous les headers possibles à ce jour, et notamment contre les attaques via iframe. Mais, utilisant une carte régionale où j'ai positionné n repères géographiques à l'aide de "Google My Maps", j'ai récupéré de Google le bloc iframe à insérer sur la page souhaitée de mon site.
    Et j'ai ajouté une option dans mes déclarations des headers, à savoir "X-FRAME-OPTIONS ALLOW-FROM https://www.google.com/maps/..." (uri complète fournie par Google).
    Mais rien n'y fait: que je fasse ces déclarations de headers dans mon fichier .htaccess ou à l'aide du plugin spécialisé "HTTPheaders", le blocage est total pour cette carte attendue.
    nb: un test de "preview" en admin donne bien l'affichage de la carte

    Voici le bloc html généré par google:

    Code HTML:
    <iframe src="https://www.google.com/maps/d/embed?mid=1OK-4-67b_MiB5df-67CHpaxrLKlegL6i" alt="" width="640" height="480"></iframe>
    Merci pour vos conseils éclairés.
    Dernière édition par lendrevi à 05/04/2019, 06h48
    Tags: Aucun
  • Eddy.vh
    a répondu


    Envoyé par lendrevi Voir le message
    Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.
    Salut.
    Tout va bien, y a pas de dérangement.

    Laisser un commentaire:

  • lendrevi
    a répondu
    Je viens de comprendre ce dysfonctionnement. J'avais commis une erreur en générant ma carte sur le site Google My Maps.
    En fait, c'est très simple et il n'est nul besoin d'aller ajouter dans son fichier .htaccess une quelconque directive !

    Ce produit "My Maps" est sensationnel. Il me reste à écrire un script qui va créer automatiquement une interactivité sur la carte après qu'un utilisateur spécial -autorisé- aura créé quelque(s) nouveau(x) repère(s) visuel(s), ou bien en aura effectué quelque(s) modification(s) sur des repères existants. Passionnant ! (cf. génération d'un fichier csv des repères à partir d'une table de ma BDD, puis génération de la carte à partir de ce nouveau fichier csv).

    Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.
    Dernière édition par lendrevi à 05/04/2019, 08h51

    Laisser un commentaire:

  • lendrevi
    a répondu
    Envoyé par pmleconte Voir le message
    Bonjour,

    Pouvez-vous donner l'adresse du site qui vous pose problème ?

    Pascal
    Bonjour,

    Mon site: https://www.entreprises.tousenvoiture.com

    nb: cette fonctionnalité non opérationnelle est actuellement désactivée. Me dire si vous en avez besoin (à priori, je pense que 'oui') !

    Laisser un commentaire:

  • pmleconte
    a répondu
    Bonjour,

    Bizarre qu'il n'y ait aucun message dans la console de votre explorateur.

    Je n'utilise pas googlemap, mais, pour faire fonctionner google analytics, il faut généralement rajouter quelques lignes au niveau CSP:
    Code:
    frame-src 'self' www.gstatic.com www.google.com
script-src 'self' www.google-analytics.com www.gstatic.com
img-src 'self' www.google-analytics.com stats.g.doubleclick.net
    Pouvez-vous donner l'adresse du site qui vous pose problème ?

    Pascal

    Laisser un commentaire:

  • lendrevi
    a répondu
    Vraiment merci, Pascal.
    vos conseils me semblent judicieux et je les appliquerai dès demain matin.
    Bonne soirée !

    Complément ajouté ce matin 01/04/2019
    Voici ci-dessous l'adaptation apportée à mon fichier .htaccess. Mais malgré ceci, je n'obtiens toujours aucun affichage de ma carte provenant de "Google My Maps" (aucune erreur signalée, aucun message, le néant):

    Code HTML:
    <IfModule mod_headers.c>

# Protection CTO (cf. plugin)
####  Header always set X-Content-Type-Options "nosniff"

# activation du HSTS (cf. plugin)

# Indication anti-XSS pour les navigateurs (cf. plugin)
####  Header always set X-XSS-Protection "1; mode=block"

# Filtre sur les provenances des scripts (CSP), séparées par des espaces
Header set Content-Security-Policy "base-uri 'self'"
Header set Content-Security-Policy "frame-src 'self' www.google.com"

Header set Referrer-Policy no-referrer-when-downgrade

# Anti-clickjacking             
 Header always set X-FRAME-OPTIONS "SAMEORIGIN"

# Antivol de cookie         
  Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

</IfModule>
    Ai-je commis quelque erreur en rédigeant ces directives ? Merci.
    Dernière édition par lendrevi à 01/04/2019, 06h42

    Laisser un commentaire:

  • pmleconte
    a répondu
    Bonsoir,

    La commande X-FRAME-OPTIONS permet de définir si on accepte que notre site soit utilisé dans une iframe d'un autre site et non le contraire.

    Donc, il faut bien utiliser la commande : Header always append X-Frame-Options SAMEORIGIN pour interdire que votre site soit inclus ailleurs.

    Je ne pense pas que votre deuxième ligne ait un effet. Par contre, avez-vous implémenté la Content Security Policy ? si oui,il faut utiliser une commande comme suit pour autoriser l'affichage d'une iframe externe: frame-src 'self' www.google.com

    J'ai eu des soucis avec des iframes youtube à cause d'une ligne "Header set Referrer-Policy same-origin". Le blocage a été réglé en mettant "Referrer-Policy no-referrer-when-downgrade"

    Pascal
    Dernière édition par pmleconte à 31/03/2019, 19h05

    Laisser un commentaire:

  • lendrevi
    a répondu
    Envoyé par Eddy.vh Voir le message
    Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.
    Ni la console Web, ni la console Navigateur ne signale une erreur d'url. À mon avis, il n'y a pas d'erreur. Et d'ailleurs, je n'en constate pas en frontend. Pour moi, il s'agirait simplement d'un erreur dans la rédaction de ma directive concernant l'affichage accepté de cet iframe.
    Voici exactement ce que j'ai placé dans mon .htaccess:

    Code HTML:
    # Anti-clickjacking             
 Header always set X-FRAME-OPTIONS "SAMEORIGIN"
 Header set X-FRAME-OPTIONS "ALLOW-FROM www.google.com/maps/d/"
    La raison ne viendrait-elle pas de mon qualifificatif "always" sur la 1ère directive ? N'empêcherait-elle pas toute autre directive complémentaire, comme la seconde ici ?
    Merci.

    Laisser un commentaire:

  • Eddy.vh
    a répondu
    Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.

    Laisser un commentaire:

  • lendrevi
    a répondu
    Envoyé par Eddy.vh Voir le message
    Bonjour.

    As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
    Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.
    Bonjour Eddy,
    1. avec l'inspecteur, je ne retrouve comme contenu que mon titre: tout le bloc iframe a été effacé. Faisant fi de mon autorisation par ma directive X-Frame-Options ALLOW-FROM ...
    2. j'avais oublié cette précision de ne pas mettre au début de l'url le http://. Mais, même en appliquant cette règle, cela ne change rien au dysfonctionnement.
    Rien n'est cassé, aucune erreur, mais pas de carte affichée !

    Laisser un commentaire:

  • Eddy.vh
    a répondu
    Bonjour.

    As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
    Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.

    Laisser un commentaire:

Précédent template Suivant

Annonce

Réduire
1 sur 2 < >

C'est [Réglé] et on n'en parle plus ?

A quoi ça sert ?
La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
Comment ajouter la mention [Réglé] à votre discussion ?
1 - Aller sur votre discussion et éditer votre premier message :


2 - Cliquer sur la liste déroulante Préfixe.

3 - Choisir le préfixe [Réglé].


4 - Et voilà… votre discussion est désormais identifiée comme réglée.

2 sur 2 < >

Assistance au forum - Outil de publication d'infos de votre site

Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

UTILISER À VOS PROPRES RISQUES :
L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

Problèmes connus :
FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

Installation :

1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

Archive zip : https://github.com/AFUJ/FPA/zipball/master

2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
et remplacer www. votresite .com par votre nom de domaine


Exemples:
Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/
Pour executer le script: http://www..com/fpa-fr.php

Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/cms/
Pour executer le script: http://www..com/cms/fpa-fr.php

En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
Voir plus
Voir moins

Partenaire de l'association

Réduire
Hébergeur Web PlanetHoster
Travaille ...
X