À propos du Header "X-FRAME-OPTIONS"

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] À propos du Header "X-FRAME-OPTIONS"

    Bonjour,

    Mon environnement: Joomla 3.9.4, plugin SYSTEM-HTTPheaders

    J'ai protégé mon site avec tous les headers possibles à ce jour, et notamment contre les attaques via iframe. Mais, utilisant une carte régionale où j'ai positionné n repères géographiques à l'aide de "Google My Maps", j'ai récupéré de Google le bloc iframe à insérer sur la page souhaitée de mon site.
    Et j'ai ajouté une option dans mes déclarations des headers, à savoir "X-FRAME-OPTIONS ALLOW-FROM https://www.google.com/maps/..." (uri complète fournie par Google).
    Mais rien n'y fait: que je fasse ces déclarations de headers dans mon fichier .htaccess ou à l'aide du plugin spécialisé "HTTPheaders", le blocage est total pour cette carte attendue.
    nb: un test de "preview" en admin donne bien l'affichage de la carte

    Voici le bloc html généré par google:

    Code HTML:
    <iframe src="https://www.google.com/maps/d/embed?mid=1OK-4-67b_MiB5df-67CHpaxrLKlegL6i" alt="" width="640" height="480"></iframe>
    Merci pour vos conseils éclairés.
    Dernière édition par Visiteur à 05/04/2019, 06h48

  • #2
    Bonjour.

    As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
    Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.
    Cordialement.
    __
    Eddy !!!
    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

    Commentaire


    • #3
      Envoyé par Eddy.vh Voir le message
      Bonjour.

      As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
      Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.
      Bonjour Eddy,
      1. avec l'inspecteur, je ne retrouve comme contenu que mon titre: tout le bloc iframe a été effacé. Faisant fi de mon autorisation par ma directive X-Frame-Options ALLOW-FROM ...
      2. j'avais oublié cette précision de ne pas mettre au début de l'url le http://. Mais, même en appliquant cette règle, cela ne change rien au dysfonctionnement.
      Rien n'est cassé, aucune erreur, mais pas de carte affichée !

      Commentaire


      • #4
        Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.
        Cordialement.
        __
        Eddy !!!
        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

        Commentaire


        • #5
          Envoyé par Eddy.vh Voir le message
          Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.
          Ni la console Web, ni la console Navigateur ne signale une erreur d'url. À mon avis, il n'y a pas d'erreur. Et d'ailleurs, je n'en constate pas en frontend. Pour moi, il s'agirait simplement d'un erreur dans la rédaction de ma directive concernant l'affichage accepté de cet iframe.
          Voici exactement ce que j'ai placé dans mon .htaccess:

          Code HTML:
          # Anti-clickjacking             
           Header always set X-FRAME-OPTIONS "SAMEORIGIN"
           Header set X-FRAME-OPTIONS "ALLOW-FROM www.google.com/maps/d/"
          La raison ne viendrait-elle pas de mon qualifificatif "always" sur la 1ère directive ? N'empêcherait-elle pas toute autre directive complémentaire, comme la seconde ici ?
          Merci.

          Commentaire


          • #6
            Bonsoir,

            La commande X-FRAME-OPTIONS permet de définir si on accepte que notre site soit utilisé dans une iframe d'un autre site et non le contraire.

            Donc, il faut bien utiliser la commande : Header always append X-Frame-Options SAMEORIGIN pour interdire que votre site soit inclus ailleurs.

            Je ne pense pas que votre deuxième ligne ait un effet. Par contre, avez-vous implémenté la Content Security Policy ? si oui,il faut utiliser une commande comme suit pour autoriser l'affichage d'une iframe externe: frame-src 'self' www.google.com

            J'ai eu des soucis avec des iframes youtube à cause d'une ligne "Header set Referrer-Policy same-origin". Le blocage a été réglé en mettant "Referrer-Policy no-referrer-when-downgrade"

            Pascal
            Dernière édition par pmleconte à 31/03/2019, 19h05
            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #7
              Vraiment merci, Pascal.
              vos conseils me semblent judicieux et je les appliquerai dès demain matin.
              Bonne soirée !

              Complément ajouté ce matin 01/04/2019
              Voici ci-dessous l'adaptation apportée à mon fichier .htaccess. Mais malgré ceci, je n'obtiens toujours aucun affichage de ma carte provenant de "Google My Maps" (aucune erreur signalée, aucun message, le néant):

              Code HTML:
              <IfModule mod_headers.c>
              
              # Protection CTO (cf. plugin)
              ####  Header always set X-Content-Type-Options "nosniff"
              
              # activation du HSTS (cf. plugin)
              
              # Indication anti-XSS pour les navigateurs (cf. plugin)
              ####  Header always set X-XSS-Protection "1; mode=block"
              
              # Filtre sur les provenances des scripts (CSP), séparées par des espaces
              Header set Content-Security-Policy "base-uri 'self'"
              Header set Content-Security-Policy "frame-src 'self' www.google.com"
              
              Header set Referrer-Policy no-referrer-when-downgrade
              
              # Anti-clickjacking             
               Header always set X-FRAME-OPTIONS "SAMEORIGIN"
              
              # Antivol de cookie         
                Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
              
              </IfModule>
              Ai-je commis quelque erreur en rédigeant ces directives ? Merci.
              Dernière édition par Visiteur à 01/04/2019, 06h42

              Commentaire


              • #8
                Bonjour,

                Bizarre qu'il n'y ait aucun message dans la console de votre explorateur.

                Je n'utilise pas googlemap, mais, pour faire fonctionner google analytics, il faut généralement rajouter quelques lignes au niveau CSP:
                Code:
                frame-src 'self' www.gstatic.com www.google.com
                script-src 'self' www.google-analytics.com www.gstatic.com
                img-src 'self' www.google-analytics.com stats.g.doubleclick.net
                Pouvez-vous donner l'adresse du site qui vous pose problème ?

                Pascal
                If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                Commentaire


                • #9
                  Envoyé par pmleconte Voir le message
                  Bonjour,

                  Pouvez-vous donner l'adresse du site qui vous pose problème ?

                  Pascal
                  Bonjour,

                  Mon site: https://www.entreprises.tousenvoiture.com

                  nb: cette fonctionnalité non opérationnelle est actuellement désactivée. Me dire si vous en avez besoin (à priori, je pense que 'oui') !

                  Commentaire


                  • #10
                    Je viens de comprendre ce dysfonctionnement. J'avais commis une erreur en générant ma carte sur le site Google My Maps.
                    En fait, c'est très simple et il n'est nul besoin d'aller ajouter dans son fichier .htaccess une quelconque directive !

                    Ce produit "My Maps" est sensationnel. Il me reste à écrire un script qui va créer automatiquement une interactivité sur la carte après qu'un utilisateur spécial -autorisé- aura créé quelque(s) nouveau(x) repère(s) visuel(s), ou bien en aura effectué quelque(s) modification(s) sur des repères existants. Passionnant ! (cf. génération d'un fichier csv des repères à partir d'une table de ma BDD, puis génération de la carte à partir de ce nouveau fichier csv).

                    Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.
                    Dernière édition par Visiteur à 05/04/2019, 08h51

                    Commentaire


                    • #11


                      Envoyé par lendrevi Voir le message
                      Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.
                      Salut.
                      Tout va bien, y a pas de dérangement.
                      Cordialement.
                      __
                      Eddy !!!
                      Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X