À propos du Header "X-FRAME-OPTIONS"

**Eddy.vh** · 31/03/2019, 09h32

Bonjour.

As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.

**Visiteur** · 31/03/2019, 09h48

Envoyé par Eddy.vh Voir le message

Bonjour.

As-tu testé le blocage avec l'inspecteur du navigateur? Il te dira immédiatement ce qui coince.
Les adresses à entrer dans les csp ne doivent pas compter le http(s):// mais bien les www s'il y en a.

Bonjour Eddy,
1. avec l'inspecteur, je ne retrouve comme contenu que mon titre: tout le bloc iframe a été effacé. Faisant fi de mon autorisation par ma directive X-Frame-Options ALLOW-FROM ...
2. j'avais oublié cette précision de ne pas mettre au début de l'url le http://. Mais, même en appliquant cette règle, cela ne change rien au dysfonctionnement.
Rien n'est cassé, aucune erreur, mais pas de carte affichée !

**Eddy.vh** · 31/03/2019, 10h53

Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.

**Visiteur** · 31/03/2019, 16h15

Envoyé par Eddy.vh Voir le message

Si l'iframe ne charge pas à cause dune erreur, la console indique l'URL qui est refusée par la csp.

Ni la console Web, ni la console Navigateur ne signale une erreur d'url. À mon avis, il n'y a pas d'erreur. Et d'ailleurs, je n'en constate pas en frontend. Pour moi, il s'agirait simplement d'un erreur dans la rédaction de ma directive concernant l'affichage accepté de cet iframe.
Voici exactement ce que j'ai placé dans mon .htaccess:

Code HTML:

# Anti-clickjacking             
 Header always set X-FRAME-OPTIONS "SAMEORIGIN"
 Header set X-FRAME-OPTIONS "ALLOW-FROM www.google.com/maps/d/"

La raison ne viendrait-elle pas de mon qualifificatif "always" sur la 1ère directive ? N'empêcherait-elle pas toute autre directive complémentaire, comme la seconde ici ?
Merci.

**pmleconte** · 31/03/2019, 19h01

Bonsoir,

La commande X-FRAME-OPTIONS permet de définir si on accepte que notre site soit utilisé dans une iframe d'un autre site et non le contraire.

Donc, il faut bien utiliser la commande : Header always append X-Frame-Options SAMEORIGIN pour interdire que votre site soit inclus ailleurs.

Je ne pense pas que votre deuxième ligne ait un effet. Par contre, avez-vous implémenté la Content Security Policy ? si oui,il faut utiliser une commande comme suit pour autoriser l'affichage d'une iframe externe: frame-src 'self' www.google.com

J'ai eu des soucis avec des iframes youtube à cause d'une ligne "Header set Referrer-Policy same-origin". Le blocage a été réglé en mettant "Referrer-Policy no-referrer-when-downgrade"

Pascal

**Visiteur** · 31/03/2019, 20h00

Vraiment merci, Pascal.
vos conseils me semblent judicieux et je les appliquerai dès demain matin.
Bonne soirée !

Complément ajouté ce matin 01/04/2019
Voici ci-dessous l'adaptation apportée à mon fichier .htaccess. Mais malgré ceci, je n'obtiens toujours aucun affichage de ma carte provenant de "Google My Maps" (aucune erreur signalée, aucun message, le néant):

Code HTML:

<IfModule mod_headers.c>

# Protection CTO (cf. plugin)
####  Header always set X-Content-Type-Options "nosniff"

# activation du HSTS (cf. plugin)

# Indication anti-XSS pour les navigateurs (cf. plugin)
####  Header always set X-XSS-Protection "1; mode=block"

# Filtre sur les provenances des scripts (CSP), séparées par des espaces
Header set Content-Security-Policy "base-uri 'self'"
Header set Content-Security-Policy "frame-src 'self' www.google.com"

Header set Referrer-Policy no-referrer-when-downgrade

# Anti-clickjacking             
 Header always set X-FRAME-OPTIONS "SAMEORIGIN"

# Antivol de cookie         
  Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

</IfModule>

Ai-je commis quelque erreur en rédigeant ces directives ? Merci.

**pmleconte** · 01/04/2019, 09h57

Bonjour,

Bizarre qu'il n'y ait aucun message dans la console de votre explorateur.

Je n'utilise pas googlemap, mais, pour faire fonctionner google analytics, il faut généralement rajouter quelques lignes au niveau CSP:

Code:

frame-src 'self' www.gstatic.com www.google.com
script-src 'self' www.google-analytics.com www.gstatic.com
img-src 'self' www.google-analytics.com stats.g.doubleclick.net

Pouvez-vous donner l'adresse du site qui vous pose problème ?

Pascal

**Visiteur** · 01/04/2019, 11h23

Envoyé par pmleconte Voir le message

Bonjour,

Pouvez-vous donner l'adresse du site qui vous pose problème ?

Pascal

Bonjour,

Mon site: https://www.entreprises.tousenvoiture.com

nb: cette fonctionnalité non opérationnelle est actuellement désactivée. Me dire si vous en avez besoin (à priori, je pense que 'oui') !

**Visiteur** · 05/04/2019, 06h47

Je viens de comprendre ce dysfonctionnement. J'avais commis une erreur en générant ma carte sur le site Google My Maps.
En fait, c'est très simple et il n'est nul besoin d'aller ajouter dans son fichier .htaccess une quelconque directive !

Ce produit "My Maps" est sensationnel. Il me reste à écrire un script qui va créer automatiquement une interactivité sur la carte après qu'un utilisateur spécial -autorisé- aura créé quelque(s) nouveau(x) repère(s) visuel(s), ou bien en aura effectué quelque(s) modification(s) sur des repères existants. Passionnant ! (cf. génération d'un fichier csv des repères à partir d'une table de ma BDD, puis génération de la carte à partir de ce nouveau fichier csv).

Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.

**Eddy.vh** · 05/04/2019, 07h38

Envoyé par lendrevi Voir le message

Je présente toutes mes excuses à Eddy & Pascal que j'avais dérangé par erreur personnelle. Merci encore pour vos aides.

Salut.
Tout va bien, y a pas de dérangement.

À propos du Header "X-FRAME-OPTIONS"

[RÉGLÉ] À propos du Header "X-FRAME-OPTIONS"

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association