HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

    Bonjour,

    Depuis que j'ai passé mon site en HTTPS, je ne peux plu ouvrir de frames sur mon site, j'ai des messages du genre :

    Load denied by X-Frame-Options: .... does not permit framing.

    De ce fait, je ne peux plu écrire d'articles dans le backend entre autres, puisque Joomla utilise des frames.

    la solution est dechanger le X-Frame-Options DENY en X-Frame-Options SAMEORIGIN

    J'ai cherché sur le web mais je ne trouve pas comment faire... Apparement on peut le fairedans le .htaccess mais je ne suis pas arrivé...

    J'ai vu ça sur stackoverflow


    Si vous avez activé les mod_headers dans apache:

    .htaccess

    Header set X-Frame-Options DENY

    Mais, vous pouvez activer iframes viennent de la même origine.

    Header always append X-Frame-Options SAMEORIGIN

    Comment savoir si les mod-headers sont activé dans apache ? Si non, comment les activer ?

    Ou y a t'il une autre solution pour configurer ls x-frames-options ? Car mon Joomla est inutilisable en l'état.
    Dernière édition par AlexJean à 13/03/2017, 18h33
    Mon blog perso : helene-alex.com

  • #2
    Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

    Bonjour,

    Il y a eu une discussion sur les security header https://forum.joomla.fr/showthread.p...rityheaders-io.

    Cela renvoyait sur https://www.alsacreations.com/articl...-securite.html où l'on parle de X-Frame-Options.

    En espérant que cela vous aide, car (j'ai honte de l'avouer), je n'ai pas encore testé.

    Pascal
    If anything can go wrong, it will...
    If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

      @AlexJean : la "simple" activation du mode https n'implique pas l'activation du x-frame-options. Je pense que tu as dû activer une sécurité ailleurs.

      L'article repris par Pascal est, à mon sens, le meilleur en Français à ce jour.

      Envoyé par pmleconte Voir le message
      car (j'ai honte de l'avouer), je n'ai pas encore testé.
      Roooooohhhh... la honte.

      (j'en mets trois pour bien insister sur la gentille taquinerie)
      Christophe (cavo789)
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
      Mes logiciels OpenSource : https://www.avonture.be

      Commentaire


      • #4
        Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

        Envoyé par cavo789 Voir le message
        @AlexJean : la "simple" activation du mode https n'implique pas l'activation du x-frame-options. Je pense que tu as dû activer une sécurité ailleurs.
        J'ai passé mon site en https ce week-end et c'est depuis là que j'ai le soucis, je ne vois pas comment j'aurais pu l'activer ailleurs ?

        EDIT : Je met ça dans mon .htacess et cela ne change rien :

        Header set X-Frame-Options "SAMEORIGIN"
        Dernière édition par AlexJean à 13/03/2017, 16h22
        Mon blog perso : helene-alex.com

        Commentaire


        • #5
          Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

          Tu fais une faute de syntaxe...

          Code:
          Header set X-Frame-Options SAMEORIGIN
          (pas de double-quotes)
          Christophe (cavo789)
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
          Mes logiciels OpenSource : https://www.avonture.be

          Commentaire


          • #6
            Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

            Ca n'a aucun effet, c'est toujours pareil. :/

            Il n'y a pas une autre solution ?
            Mon blog perso : helene-alex.com

            Commentaire


            • #7
              Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

              Même ca que j'ai repris sur le site de alsacreation, ca marche pas quand je teste sur le site https://securityheaders.io, ca n'a aucun effet...

              <IfModule mod_headers.c>
              Header always set X-Content-Type-Options "nosniff"
              </IfModule>
              Edit : Ca aussi ca fait buggé le site

              RewriteEngine On
              RewriteCond %{HTTPS} !=on
              RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
              Dernière édition par AlexJean à 13/03/2017, 17h06
              Mon blog perso : helene-alex.com

              Commentaire


              • #8
                Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

                J'ai contacté mon hébergeur qui a fait la modification directement sur le serveur. Mon problème est résolu, par contre cela reste toujours un mystère que les modifications dans le htacess n'on eu aucun effet.
                Mon blog perso : helene-alex.com

                Commentaire


                • #9
                  Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

                  Quel est le contenu de ton​ nouveau .htaccess ?
                  Christophe (cavo789)
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                  Mes logiciels OpenSource : https://www.avonture.be

                  Commentaire


                  • #10
                    Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

                    Mon htacess :

                    RewriteBase /

                    ## Can be commented out if causes errors, see notes above.
                    Options +FollowSymLinks

                    RewriteEngine On

                    RewriteCond %{HTTP_HOST} !^www.
                    RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

                    RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
                    RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
                    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
                    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
                    RewriteRule .* index.php [F]

                    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
                    RewriteCond %{REQUEST_URI} !^/index\.php
                    RewriteCond %{REQUEST_FILENAME} !-f
                    RewriteCond %{REQUEST_FILENAME} !-d
                    RewriteRule .* index.php [L]

                    <IfModule mod_headers.c>
                    # Mise en cache des images et autres fichier statiques pour un mois
                    <FilesMatch ".(ico|jpg|jpe?g|png|gif|swf|flv|css|js|gz|pdf )$">
                    Header set Cache-Control "max-age=2592000"
                    </FilesMatch>
                    # Mise en cache du html et xml pour 12 heures
                    <filesMatch ".(html|htm|xml)$">
                    Header set Cache-Control "max-age=43200"
                    </filesMatch>
                    # Désactive la mise en cache pour les fichier PHP et CGI
                    <FilesMatch ".(php|cgi)$">
                    Header unset Cache-Control
                    </FilesMatch>
                    </IfModule>

                    # Compression
                    # Activer le filtre
                    SetOutputFilter DEFLATE
                    # Certains navigateurs ont des problèmes avec gzip
                    BrowserMatch ^Mozilla/4 gzip-only-text/html
                    BrowserMatch ^Mozilla/4\.0[678] no-gzip
                    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
                    # Les images n'ont pas besoin d'êtres compressées puisqu'elles le sont déjà (jpg, gif...)
                    SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
                    # Pour les proxy
                    Header append Vary User-Agent env=!dont-vary
                    #Désactivation des Etag
                    Header unset ETag
                    FileETag None

                    # php -- BEGIN cPanel-generated handler, do not edit
                    # Définissez le package «*ea-php71*» comme langage de programmation «*PHP*» par défaut.
                    <IfModule mime_module>
                    AddType application/x-httpd-ea-php71 .php .php7 .phtml
                    </IfModule>
                    # php -- END cPanel-generated handler, do not edit


                    ## BEGIN EXPIRES CACHING - JCH OPTIMIZE ##
                    <IfModule mod_expires.c>
                    ExpiresActive on

                    # Perhaps better to whitelist expires rules? Perhaps.
                    ExpiresDefault "access plus 1 month"

                    # cache.appcache needs re-requests in FF 3.6 (thanks Remy ~Introducing HTML5)
                    ExpiresByType text/cache-manifest "access plus 0 seconds"

                    # Your document html
                    ExpiresByType text/html "access plus 0 seconds"

                    # Data
                    ExpiresByType text/xml "access plus 0 seconds"
                    ExpiresByType application/xml "access plus 0 seconds"
                    ExpiresByType application/json "access plus 0 seconds"

                    # Feed
                    ExpiresByType application/rss+xml "access plus 1 hour"
                    ExpiresByType application/atom+xml "access plus 1 hour"

                    # Favicon (cannot be renamed)
                    ExpiresByType image/x-icon "access plus 1 week"

                    # Media: images, video, audio
                    ExpiresByType image/gif "access plus 1 month"
                    ExpiresByType image/png "access plus 1 month"
                    ExpiresByType image/jpg "access plus 1 month"
                    ExpiresByType image/jpeg "access plus 1 month"
                    ExpiresByType video/ogg "access plus 1 month"
                    ExpiresByType audio/ogg "access plus 1 month"
                    ExpiresByType video/mp4 "access plus 1 month"
                    ExpiresByType video/webm "access plus 1 month"

                    # HTC files (css3pie)
                    ExpiresByType text/x-component "access plus 1 month"

                    # Webfonts
                    ExpiresByType application/x-font-ttf "access plus 1 month"
                    ExpiresByType font/opentype "access plus 1 month"
                    ExpiresByType application/x-font-woff "access plus 1 month"
                    ExpiresByType image/svg+xml "access plus 1 month"
                    ExpiresByType application/vnd.ms-fontobject "access plus 1 month"

                    # CSS and JavaScript
                    ExpiresByType text/css "access plus 1 year"
                    ExpiresByType text/javascript "access plus 1 year"
                    ExpiresByType application/javascript "access plus 1 year"

                    <IfModule mod_headers.c>
                    Header append Cache-Control "public"
                    </IfModule>

                    </IfModule>
                    ## END EXPIRES CACHING - JCH OPTIMIZE ##

                    Et j'ai toujours le soucis de redirection de "http/monsite.fr/gallery" vers "http/www.monsite.fr/gallery", alors que ça fontionne très bien tant que je reste dans Joomla (mon topic sur ce problème).
                    Mon blog perso : helene-alex.com

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X