BullGuard Antivirus Sale - 60% Off with openElement !
Accueil Forum Accueil Forum >

openElement

> Web Café > Code (JS, PHP, CSS etc.), techniques etc.
  Nouveaux messages Nouveaux messages Fil RSS  - clickjacking sur projet OE
  FAQ FAQ  Rechercher dans le Forum   Inscription Inscription  Connexion Connexion

clickjacking sur projet OE

 Répondre Répondre
Auteur
Message
nico38 allez vers le bas
Senior Member
Senior Member


Depuis le: 18 Jan 2014
Status: Inactif
Points: 3967
Options des messages Options des messages   Thanks (0) Thanks(0)   Citer nico38 Citer  RépondreRéponse Lien Direct à ce Post Sujet: clickjacking sur projet OE
    Envoyé : 15 Sep 2015 à 20:38
Bonjour en effectuant un test de performance sur OE j'ai ce message d'avertissement (vous en pensez quoi ?) :
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Cette page est exposée à des attaques du type "clickjacking"

Ne permettez pas à des personnes malveillantes d'intégrer vos pages sur leur site.

Clickjacking

Ce type d'attaque consiste à intégrer votre page sur un site malveillant via des balises <frame> ou <iframe>. Ainsi il est possible de faire croire à un internaute qu'il est sur votre propre page. L'internaute peu averti sera en confiance et sera potentiellement amené à saisir des informations que le site malveillant sera à même d'intercepter.

Vous devez donc indiquer quels domaines sont autorisés à intégrer votre page.

La solution : configurer un en-tête HTTP "X-Frame-Options"

Configurez votre serveur de telle sorte que la réponse de la ressource principale contienne l'en-tête HTTP "X-Frame-Options".

Trois types de valeurs peuvent être définies :

  • DENY pour refuser toute frame ou iframe intégrant la page
  • SAMEORIGIN pour n'autoriser que les frames provenant du même nom de domaine
  • ALLOW-FROM uri pour préciser les domaines pouvant intégrer la page dans une frame (non compatible avec tous les navigateurs (EN))
  • Apache logo L'en-tête HTTP "X-Frame-Options" peut se configurer avec Apache. Assurez vous tout d'abord que le module mod_headers est bien activé. Ensuite, vous pouvez indiquer l'en-tête dans votre configuration, comme sur l'exemple ci-dessous :

    <IfModule mod_headers.c>
    Header always set X-FRAME-OPTIONS "DENY"
    </IfModule>

    L'en-tête "X-Frame-Options" n'est pas configuré sur cette page, vous êtes plus facilement exposé au clickjacking.

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------



    Edité par nico38 - 15 Sep 2015 à 20:38
    Un lien vers ton site tu enverras | Problème d'affichage ? ---> CTRL+F5 | Couleur des liens --> "Styles des liens"
    Haut de la page
    Bridet allez vers le bas
    Senior Member
    Senior Member
    Avatar

    Depuis le: 13 Dec 2013
    Pays: Condroz
    Status: Inactif
    Points: 5049
    Options des messages Options des messages   Thanks (0) Thanks(0)   Citer Bridet Citer  RépondreRéponse Lien Direct à ce Post Envoyé : 16 Sep 2015 à 09:00
    J'en pense que ça me fait super peur!
    C'est Guideline qui t'a dit ça?
    Haut de la page
     Répondre Répondre
      Partagez ce sujet   

    Aller au Forum Permissions du forum allez vers le bas

    Forum Software by Web Wiz Forums® version 12.04
    Copyright ©2001-2021 Web Wiz Ltd.

    Cette page a été affichée en 0.063 secondes.