HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

    Bonjour,

    Depuis que j'ai passé mon site en HTTPS, je ne peux plu ouvrir de frames sur mon site, j'ai des messages du genre :

    Load denied by X-Frame-Options: .... does not permit framing.

    De ce fait, je ne peux plu écrire d'articles dans le backend entre autres, puisque Joomla utilise des frames.

    la solution est dechanger le X-Frame-Options DENY en X-Frame-Options SAMEORIGIN

    J'ai cherché sur le web mais je ne trouve pas comment faire... Apparement on peut le fairedans le .htaccess mais je ne suis pas arrivé...

    J'ai vu ça sur stackoverflow


    Si vous avez activé les mod_headers dans apache:

    .htaccess

    Header set X-Frame-Options DENY

    Mais, vous pouvez activer iframes viennent de la même origine.

    Header always append X-Frame-Options SAMEORIGIN

    Comment savoir si les mod-headers sont activé dans apache ? Si non, comment les activer ?

    Ou y a t'il une autre solution pour configurer ls x-frames-options ? Car mon Joomla est inutilisable en l'état.
    Dernière édition par AlexJean à 13/03/2017, 18h33
    Mon blog perso : helene-alex.com

  • #2
    Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

    Bonjour,

    Il y a eu une discussion sur les security header https://forum.joomla.fr/showthread.p...rityheaders-io.

    Cela renvoyait sur https://www.alsacreations.com/articl...-securite.html où l'on parle de X-Frame-Options.

    En espérant que cela vous aide, car (j'ai honte de l'avouer), je n'ai pas encore testé.

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

      @AlexJean : la "simple" activation du mode https n'implique pas l'activation du x-frame-options. Je pense que tu as dû activer une sécurité ailleurs.

      L'article repris par Pascal est, à mon sens, le meilleur en Français à ce jour.

      Envoyé par pmleconte Voir le message
      car (j'ai honte de l'avouer), je n'ai pas encore testé.
      Roooooohhhh... la honte.

      (j'en mets trois pour bien insister sur la gentille taquinerie)
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

        Envoyé par cavo789 Voir le message
        @AlexJean : la "simple" activation du mode https n'implique pas l'activation du x-frame-options. Je pense que tu as dû activer une sécurité ailleurs.
        J'ai passé mon site en https ce week-end et c'est depuis là que j'ai le soucis, je ne vois pas comment j'aurais pu l'activer ailleurs ?

        EDIT : Je met ça dans mon .htacess et cela ne change rien :

        Header set X-Frame-Options "SAMEORIGIN"
        Dernière édition par AlexJean à 13/03/2017, 16h22
        Mon blog perso : helene-alex.com

        Commentaire


        • #5
          Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

          Tu fais une faute de syntaxe...

          Code:
          Header set X-Frame-Options SAMEORIGIN
          (pas de double-quotes)
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

            Ca n'a aucun effet, c'est toujours pareil. :/

            Il n'y a pas une autre solution ?
            Mon blog perso : helene-alex.com

            Commentaire


            • #7
              Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

              Même ca que j'ai repris sur le site de alsacreation, ca marche pas quand je teste sur le site https://securityheaders.io, ca n'a aucun effet...

              <IfModule mod_headers.c>
              Header always set X-Content-Type-Options "nosniff"
              </IfModule>
              Edit : Ca aussi ca fait buggé le site

              RewriteEngine On
              RewriteCond %{HTTPS} !=on
              RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
              Dernière édition par AlexJean à 13/03/2017, 17h06
              Mon blog perso : helene-alex.com

              Commentaire


              • #8
                Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

                J'ai contacté mon hébergeur qui a fait la modification directement sur le serveur. Mon problème est résolu, par contre cela reste toujours un mystère que les modifications dans le htacess n'on eu aucun effet.
                Mon blog perso : helene-alex.com

                Commentaire


                • #9
                  Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

                  Quel est le contenu de ton​ nouveau .htaccess ?
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : HTTPS : Modification X-Frame-Options DENY en SAMEORIGIN

                    Mon htacess :

                    RewriteBase /

                    ## Can be commented out if causes errors, see notes above.
                    Options +FollowSymLinks

                    RewriteEngine On

                    RewriteCond %{HTTP_HOST} !^www.
                    RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

                    RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
                    RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
                    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
                    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
                    RewriteRule .* index.php [F]

                    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
                    RewriteCond %{REQUEST_URI} !^/index\.php
                    RewriteCond %{REQUEST_FILENAME} !-f
                    RewriteCond %{REQUEST_FILENAME} !-d
                    RewriteRule .* index.php [L]

                    <IfModule mod_headers.c>
                    # Mise en cache des images et autres fichier statiques pour un mois
                    <FilesMatch ".(ico|jpg|jpe?g|png|gif|swf|flv|css|js|gz|pdf )$">
                    Header set Cache-Control "max-age=2592000"
                    </FilesMatch>
                    # Mise en cache du html et xml pour 12 heures
                    <filesMatch ".(html|htm|xml)$">
                    Header set Cache-Control "max-age=43200"
                    </filesMatch>
                    # Désactive la mise en cache pour les fichier PHP et CGI
                    <FilesMatch ".(php|cgi)$">
                    Header unset Cache-Control
                    </FilesMatch>
                    </IfModule>

                    # Compression
                    # Activer le filtre
                    SetOutputFilter DEFLATE
                    # Certains navigateurs ont des problèmes avec gzip
                    BrowserMatch ^Mozilla/4 gzip-only-text/html
                    BrowserMatch ^Mozilla/4\.0[678] no-gzip
                    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
                    # Les images n'ont pas besoin d'êtres compressées puisqu'elles le sont déjà (jpg, gif...)
                    SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
                    # Pour les proxy
                    Header append Vary User-Agent env=!dont-vary
                    #Désactivation des Etag
                    Header unset ETag
                    FileETag None

                    # php -- BEGIN cPanel-generated handler, do not edit
                    # Définissez le package «*ea-php71*» comme langage de programmation «*PHP*» par défaut.
                    <IfModule mime_module>
                    AddType application/x-httpd-ea-php71 .php .php7 .phtml
                    </IfModule>
                    # php -- END cPanel-generated handler, do not edit


                    ## BEGIN EXPIRES CACHING - JCH OPTIMIZE ##
                    <IfModule mod_expires.c>
                    ExpiresActive on

                    # Perhaps better to whitelist expires rules? Perhaps.
                    ExpiresDefault "access plus 1 month"

                    # cache.appcache needs re-requests in FF 3.6 (thanks Remy ~Introducing HTML5)
                    ExpiresByType text/cache-manifest "access plus 0 seconds"

                    # Your document html
                    ExpiresByType text/html "access plus 0 seconds"

                    # Data
                    ExpiresByType text/xml "access plus 0 seconds"
                    ExpiresByType application/xml "access plus 0 seconds"
                    ExpiresByType application/json "access plus 0 seconds"

                    # Feed
                    ExpiresByType application/rss+xml "access plus 1 hour"
                    ExpiresByType application/atom+xml "access plus 1 hour"

                    # Favicon (cannot be renamed)
                    ExpiresByType image/x-icon "access plus 1 week"

                    # Media: images, video, audio
                    ExpiresByType image/gif "access plus 1 month"
                    ExpiresByType image/png "access plus 1 month"
                    ExpiresByType image/jpg "access plus 1 month"
                    ExpiresByType image/jpeg "access plus 1 month"
                    ExpiresByType video/ogg "access plus 1 month"
                    ExpiresByType audio/ogg "access plus 1 month"
                    ExpiresByType video/mp4 "access plus 1 month"
                    ExpiresByType video/webm "access plus 1 month"

                    # HTC files (css3pie)
                    ExpiresByType text/x-component "access plus 1 month"

                    # Webfonts
                    ExpiresByType application/x-font-ttf "access plus 1 month"
                    ExpiresByType font/opentype "access plus 1 month"
                    ExpiresByType application/x-font-woff "access plus 1 month"
                    ExpiresByType image/svg+xml "access plus 1 month"
                    ExpiresByType application/vnd.ms-fontobject "access plus 1 month"

                    # CSS and JavaScript
                    ExpiresByType text/css "access plus 1 year"
                    ExpiresByType text/javascript "access plus 1 year"
                    ExpiresByType application/javascript "access plus 1 year"

                    <IfModule mod_headers.c>
                    Header append Cache-Control "public"
                    </IfModule>

                    </IfModule>
                    ## END EXPIRES CACHING - JCH OPTIMIZE ##

                    Et j'ai toujours le soucis de redirection de "http/monsite.fr/gallery" vers "http/www.monsite.fr/gallery", alors que ça fontionne très bien tant que je reste dans Joomla (mon topic sur ce problème).
                    Mon blog perso : helene-alex.com

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X