Envoyé par lendrevi
Voir le message
Tout va bien, y a pas de dérangement.
-
Je viens de comprendre ce dysfonctionnement. J'avais commis une erreur en générant ma carte sur le site Google My Maps.
En fait, c'est très simple et il n'est nul besoin d'aller ajouter dans son fichier .htaccess une quelconque directive !
Ce produit "My Maps" est sensationnel. Il me reste à écrire un script qui va créer automatiquement une interactivité sur la carte après qu'un utilisateur spécial -autorisé- aura créé quelque(s) nouveau(x) repère(s) visuel(s), ou bien en aura effectué quelque(s) modification(s) sur des repères existants. Passionnant ! (cf. génération d'un fichier csv des repères à partir d'une table de ma BDD, puis génération de la carte à partir de ce nouveau fichier csv).
Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.Dernière édition par lendrevi à 05/04/2019, 08h51Laisser un commentaire:
-
Bonjour,Envoyé par pmleconte Voir le message
Mon site: https://www.entreprises.tousenvoiture.com
nb: cette fonctionnalité non opérationnelle est actuellement désactivée. Me dire si vous en avez besoin (à priori, je pense que 'oui') !Laisser un commentaire:
-
Bonjour,
Bizarre qu'il n'y ait aucun message dans la console de votre explorateur.
Je n'utilise pas googlemap, mais, pour faire fonctionner google analytics, il faut généralement rajouter quelques lignes au niveau CSP:
Pouvez-vous donner l'adresse du site qui vous pose problème ?Code:frame-src 'self' www.gstatic.com www.google.com script-src 'self' www.google-analytics.com www.gstatic.com img-src 'self' www.google-analytics.com stats.g.doubleclick.net
PascalLaisser un commentaire:
-
Vraiment merci, Pascal.
vos conseils me semblent judicieux et je les appliquerai dès demain matin.
Bonne soirée !
Complément ajouté ce matin 01/04/2019
Voici ci-dessous l'adaptation apportée à mon fichier .htaccess. Mais malgré ceci, je n'obtiens toujours aucun affichage de ma carte provenant de "Google My Maps" (aucune erreur signalée, aucun message, le néant):
Ai-je commis quelque erreur en rédigeant ces directives ? Merci.Code HTML:<IfModule mod_headers.c> # Protection CTO (cf. plugin) #### Header always set X-Content-Type-Options "nosniff" # activation du HSTS (cf. plugin) # Indication anti-XSS pour les navigateurs (cf. plugin) #### Header always set X-XSS-Protection "1; mode=block" # Filtre sur les provenances des scripts (CSP), séparées par des espaces Header set Content-Security-Policy "base-uri 'self'" Header set Content-Security-Policy "frame-src 'self' www.google.com" Header set Referrer-Policy no-referrer-when-downgrade # Anti-clickjacking Header always set X-FRAME-OPTIONS "SAMEORIGIN" # Antivol de cookie Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure </IfModule>
Dernière édition par lendrevi à 01/04/2019, 06h42Laisser un commentaire:
-
Bonsoir,
La commande X-FRAME-OPTIONS permet de définir si on accepte que notre site soit utilisé dans une iframe d'un autre site et non le contraire.
Donc, il faut bien utiliser la commande : Header always append X-Frame-Options SAMEORIGIN pour interdire que votre site soit inclus ailleurs.
Je ne pense pas que votre deuxième ligne ait un effet. Par contre, avez-vous implémenté la Content Security Policy ? si oui,il faut utiliser une commande comme suit pour autoriser l'affichage d'une iframe externe: frame-src 'self' www.google.com
J'ai eu des soucis avec des iframes youtube à cause d'une ligne "Header set Referrer-Policy same-origin". Le blocage a été réglé en mettant "Referrer-Policy no-referrer-when-downgrade"
PascalDernière édition par pmleconte à 31/03/2019, 19h05Laisser un commentaire:
-
Ni la console Web, ni la console Navigateur ne signale une erreur d'url. À mon avis, il n'y a pas d'erreur. Et d'ailleurs, je n'en constate pas en frontend. Pour moi, il s'agirait simplement d'un erreur dans la rédaction de ma directive concernant l'affichage accepté de cet iframe.Envoyé par Eddy.vh Voir le message
Voici exactement ce que j'ai placé dans mon .htaccess:
La raison ne viendrait-elle pas de mon qualifificatif "always" sur la 1ère directive ? N'empêcherait-elle pas toute autre directive complémentaire, comme la seconde ici ?Code HTML:# Anti-clickjacking Header always set X-FRAME-OPTIONS "SAMEORIGIN" Header set X-FRAME-OPTIONS "ALLOW-FROM www.google.com/maps/d/"
Merci.Laisser un commentaire:
-
Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.Laisser un commentaire:
-
Bonjour Eddy,Envoyé par Eddy.vh Voir le message
1. avec l'inspecteur, je ne retrouve comme contenu que mon titre: tout le bloc iframe a été effacé. Faisant fi de mon autorisation par ma directive X-Frame-Options ALLOW-FROM ...
2. j'avais oublié cette précision de ne pas mettre au début de l'url le http://. Mais, même en appliquant cette règle, cela ne change rien au dysfonctionnement.
Rien n'est cassé, aucune erreur, mais pas de carte affichée !Laisser un commentaire:
-
Bonjour.
As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.Laisser un commentaire:
-
À propos du Header "X-FRAME-OPTIONS"
Bonjour,
Mon environnement: Joomla 3.9.4, plugin SYSTEM-HTTPheaders
J'ai protégé mon site avec tous les headers possibles à ce jour, et notamment contre les attaques via iframe. Mais, utilisant une carte régionale où j'ai positionné n repères géographiques à l'aide de "Google My Maps", j'ai récupéré de Google le bloc iframe à insérer sur la page souhaitée de mon site.
Et j'ai ajouté une option dans mes déclarations des headers, à savoir "X-FRAME-OPTIONS ALLOW-FROM https://www.google.com/maps/..." (uri complète fournie par Google).
Mais rien n'y fait: que je fasse ces déclarations de headers dans mon fichier .htaccess ou à l'aide du plugin spécialisé "HTTPheaders", le blocage est total pour cette carte attendue.
nb: un test de "preview" en admin donne bien l'affichage de la carte
Voici le bloc html généré par google:
Merci pour vos conseils éclairés.Code HTML:<iframe src="https://www.google.com/maps/d/embed?mid=1OK-4-67b_MiB5df-67CHpaxrLKlegL6i" alt="" width="640" height="480"></iframe>
Dernière édition par lendrevi à 05/04/2019, 06h48
1 sur 2
C'est [Réglé] et on n'en parle plus ?
A quoi ça sert ?
La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.
Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.
Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
Comment ajouter la mention [Réglé] à votre discussion ?Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.
Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
1 - Aller sur votre discussion et éditer votre premier message :
2 - Cliquer sur la liste déroulante Préfixe.
3 - Choisir le préfixe [Réglé].
4 - Et voilà… votre discussion est désormais identifiée comme réglée.
2 - Cliquer sur la liste déroulante Préfixe.
3 - Choisir le préfixe [Réglé].
4 - Et voilà… votre discussion est désormais identifiée comme réglée.
2 sur 2
Assistance au forum - Outil de publication d'infos de votre site
Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)
Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |
Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA
UTILISER À VOS PROPRES RISQUES :
L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.
Problèmes connus :
FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.
Installation :
1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/
Archive zip : https://github.com/AFUJ/FPA/zipball/master
2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).
3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.
4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.
5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.
6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
et remplacer www. votresite .com par votre nom de domaine
Exemples:
Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/
Pour executer le script: http://www..com/fpa-fr.php
Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/cms/
Pour executer le script: http://www..com/cms/fpa-fr.php
En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.
Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |
Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA
UTILISER À VOS PROPRES RISQUES :
L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.
Problèmes connus :
FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.
Installation :
1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/
Archive zip : https://github.com/AFUJ/FPA/zipball/master
2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).
3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.
4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.
5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.
6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
et remplacer www. votresite .com par votre nom de domaine
Exemples:
Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/
Pour executer le script: http://www..com/fpa-fr.php
Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/cms/
Pour executer le script: http://www..com/cms/fpa-fr.php
En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.
Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
Voir plus
Voir moins
Laisser un commentaire: