Hier je vous expliquais comment activer le mécanisme HSTS sur votre site Internet. Aujourd'hui, dans ce billet, je vais vous expliquer comment sécuriser son site avec l'en-tête X-FRAME-OPTIONS. L'objectif ici étant de faire toujours le max pour améliorer un peu la sécurité de la navigation web. Revenons un peu sur ce qu'apporte cette en-tête X-FRAME-OPTIONS avant de voir comment l'implémenter sur son serveur web.
A quoi sert l'en tête X-FRAME-OPTIONS ?
La balise iframe est une balise permettant d'afficher sur une page web le contenu d'une autre page. L'utilisation d'iframe est une pratique courante mais ces balises peuvent être utilisées pour de mauvaises intentions et devenir ainsi un vecteur d'attaques. En effet, il est possible pour un pirate d'embarquer une page web dans un iframe et d'en modifier le comportement... Il pourra ainsi duper l'internaute et récupérer des identifiants et mots de passe par exemple.
L'en-tête X-FRAME-OPTIONS va permettre d'interdire l'inclusion des pages dans des iframe. La directive X-FRAME-OPTIONS peut prendre 3 valeurs :
Deny : interdit tout chargement de la page à l'intérieur d'un iframe
Sameorigin : l'inclusion est autorisée seulement si la page appelante possède la même origine c'est à dire, même domaine, même protocole et même port.
Allow-from <url> : permet d'autoriser explicitement des domaines à inclure la page dans un iframe.
Implémenter l'en-tête X-FRAME-OPTIONS sur son site web
Le site JusteGeek tourne sous Apache. J'ai donc décidé, pour ma part, d'activer l'en-tête X-FRAME-OPTIONS directement dans la configuration du serveur web. Pour faire cela, il suffit d'éditer le fichier /etc/apache2/conf-available/security.conf pour ajouter la ligne ci-dessous :
Header set X-Frame-Options: "sameorigin"
Bien sûr ici, vous pouvez positionner le paramètre de votre choix. Personnellement, j'ai utilisé le paramètre sameorigin.
Si vous n'avez pas accès à la configuration du serveur web, par exemple si vous êtes sur un hébergement mutualisé, sachez que vous pouvez positionner cette ligne dans le fichier .htaccess du site internet.
Conclusion
La mise en place de cet en-tête X-FRAME-OPTIONS est une opération relativement facile à mettre en oeuvre. Cela n'est bien évidemment pas la solution ultime pour être sécurisé à 100%, mais cela constitue une pierre à l'édifice qu'est la sécurité d'un site web. En activant ce mécanisme, la note du site JusteGeek chez SecurityHeaders est passée de D à... D.
Bon après, la notation de ce site, ça vaut ce que ça vaut. Mais il reste préférable d'activer cette option 🙂 Je vous proposerai dans les prochains jours d'autres tutoriels de ce genre.
Partager la publication "Protéger son site web avec l'en-tête X-Frame-Options"