Remarque : Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.
Récapitulatif
Framesniffing est une technique d'attaque qui tire parti de la fonctionnalité de navigateur pour voler des données d'un site Web. Les applications Web qui autorisent l'hébergement de leur contenu dans un IFRAME inter-domaine peuvent être vulnérables à cette attaque.
Les administrateurs peuvent atténuer les framesniffing en configurant les services IIS pour envoyer un en-tête de réponse HTTP qui empêche l'hébergement du contenu dans un IFRAME inter-domaine.
Informations complémentaires
L' en-tête X-Frame-options peut être utilisé pour contrôler si une page peut être placée dans un IFRAME. Dans la mesure où la technique Framesniffing repose sur la possibilité de placer le site victime dans un IFRAME, une application Web peut se protéger en envoyant un en-tête d'options X-Frame approprié.
Pour configurer les services Internet (IIS) de manière à ajouter un en-tête d'options X-Frame à toutes les réponses pour un site donné, procédez comme suit:
-
Ouvrez le gestionnaire des services Internet (IIS).
-
Dans le volet connexions sur le côté gauche, développez le dossier sites et sélectionnez le site que vous voulez protéger.
-
Double-cliquez sur l'icône en-têtes de réponse HTTP dans la liste des fonctionnalités au milieu.
-
Dans le volet Actions du côté droit, cliquez sur Ajouter.
-
Dans la boîte de dialogue qui s'affiche, tapez X-Frame-options dans le champ nom, puis tapez SAMEORIGIN dans le champ valeur.
-
Cliquez sur OK pour enregistrer vos modifications.
Si vous avez d'autres sites qui ont besoin de cette configuration, répétez les étapes 2 à 6 pour ces sites également.
Cette modification empêchera les pages HTML sur d'autres domaines d'héberger votre site dans un IFRAME. Par exemple, si le service informatique de contoso applique cette modification à http://contoso.com, les pages de http://fabrikam.com ne pourront plus afficher le contenu de http://contoso.com dans un IFRAME.
Vous pouvez modifier la valeur de l'en-tête X-Frame-options pour autoriser http://fabrikam.com à tramer http://contoso.com tout en bloquant tous les autres domaines. Pour ce faire, modifiez la valeur de l'en-tête X-Frame-options à l'étape 5 en ALLOW-FROM http://fabrikam.com.
Pour plus d'informations sur l'en-tête des options X-Frame, voir ce billet de blog MSDN.
Pour annuler la modification, procédez comme suit:
-
Ouvrez le gestionnaire des services Internet (IIS).
-
Dans le volet connexions sur le côté gauche, développez le dossier sites, puis sélectionnez le site sur lequel vous avez apporté cette modification.
-
Dans la liste des fonctionnalités du milieu, double-cliquez sur l'icône en-tête de réponse HTTP.
-
Dans la liste des en-têtes qui s'affiche, sélectionnez Options X-Frame.
-
Cliquez sur supprimer dans le volet Actions du côté droit.
