Atténuation des framesniffing avec l'en-tête X-Frame-Options

Traductions disponibles Traductions disponibles
Numéro d'article: 2694329 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Framesniffing est une technique d'attaque qui tire parti des fonctionnalités de navigateur pour voler des données à partir d'un site Web. Les applications Web qui permettent leur contenu être hébergée dans un IFRAME inter-domaines peuvent être vulnérables à cette attaque.

Les administrateurs peuvent atténuer framesniffing en configurant IIS pour envoyer un en-tête de réponse HTTP qui empêche le contenu hébergé dans un IFRAME inter-domaines.

Plus d'informations

Le En-tête X-Frame-Optionspeut servir pour contrôler si une page peut être placée dans un IFRAME. Dans la mesure où la technique de Framesniffing s'appuie sur la possibilité de placer le site victime dans un IFRAME, une application web peut protéger en envoyant un en-tête X-Frame-Options approprié.

Pour configurer IIS pour ajouter un en-tête X-Frame-Options pour toutes les réponses pour un site donné, procédez comme suit :
  1. Ouvrez Internet Information Services (IIS) Manager.
  2. Dans le volet connexions sur le côté gauche, développez le dossier Sites , puis sélectionnez le site que vous souhaitez protéger.
  3. Double-cliquez sur l'icône d'En-têtes de réponse HTTP dans la liste des fonctions dans le milieu.
  4. Dans le volet Actions sur le côté droit, cliquez sur Ajouter.
  5. Dans la boîte de dialogue qui s'affiche, tapez X-Frame-Options dans le champ nom et le type SAMEORIGIN dans le champ valeur .
  6. Cliquez sur OK pour enregistrer vos modifications.

Si vous avez d'autres sites qui ont besoin de cette configuration, répétez étapes 2 à 6 pour les sites également.

Cette modification empêchera les pages HTML sur les autres domaines qui héberge votre site dans un IFRAME. Par exemple, si le service informatique de Contoso s'applique cette modification à http://contoso.com, pages à http://fabrikam.com va être capables d'afficher le contenu de http://contoso.com dans un IFRAME.

Vous pouvez modifier la valeur de l'en-tête X-Frame-Options pour autoriser http://fabrikam.com à encadrer http://contoso.com tout en bloquant tous les autres domaines. Pour ce faire, modifiez la valeur de l'en-tête X-Frame-Options à l'étape 5 pour ALLOW-FROM http://fabrikam.com.

Pour plus d'informations sur l'en-tête X-Frame-Options, voirce billet de blog MSDN.

Pour annuler la modification, procédez comme suit :
  1. Ouvrez Internet Information Services (IIS) Manager.
  2. Dans le volet connexions sur le côté gauche, développez le dossier Sites , puis sélectionnez le site où vous avez apporté cette modification.
  3. Dans la liste des fonctions du milieu, double-cliquez sur l'icône d'En-têtes de réponse HTTP .
  4. Dans la liste des en-têtes qui s'affiche, sélectionnez Les Options de bloc de X.
  5. Cliquez sur Supprimer dans le volet Actions sur le côté droit.




Propriétés

Numéro d'article: 2694329 - Dernière mise à jour: samedi 24 mars 2012 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Office SharePoint Server 2007
  • Microsoft SharePoint Foundation 2010
  • Microsoft SharePoint Server 2010
  • Microsoft Windows SharePoint Services 3.0
Mots-clés : 
kbmt KB2694329 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 2694329
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com