X-Frame-Options

L'option d'entête HTTP X-Frame-Options permet de spécifier si oui ou non un navigateur dispose des autorisations pour charger une page dans un  <frame>, <iframe> ou <object> . Cette option permet à un site d'éviter les attaques de type clickjacking , en s'assurant que son contenu ne puisse pas intégré au sein d'autres sites.

Cette sécurité n'est disponible que dans le cas où le navigateur supporte l'option X-Frame-Options.

Syntaxe

Quatre valeurs sont possibles pour  X-Frame-Options:

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
X-Frame-Options: ALLOWALL

Valeurs possibles

Si la valeur DENY est spécifiée, la chargement de la page ne pourra pas se faire dans une frame que ce soit d'un site extérieur ou depuis la même origine. Par contre si l'on spécifie SAMEORIGIN, on peut toujours afficher la page dans une frame tant que le site qui l'intègre est le même que celui servant la page.

DENY

La page ne peut pas être affiché dans une frame, peu importe le site qui essaie de la charger.

SAMEORIGIN

La page ne peut être affiché que par un site de même origine. La spécification ne définit pas si les navigateurs doivent appliquer la règle à la racine (top level), au parent ou sur toute la chaine.

ALLOW-FROM uri

La page ne peut s'afficher dans une frame qu'à partir de l'origine spécifié.

ALLOWALL

La page peut être affichée dans une frame, peut-importe le site qui essaie de la charger.

Exemples

Configuration  d'Apache

Afin de configurer Apache pour qu'il renvoie l'option X-Frame-Options header pour toutes les pages, il faut ajouter la commande suivante au fichier de configuration de votre site :

Header always set X-Frame-Options "SAMEORIGIN"

Afin de configurer Apache sur la valeur X-Frame-Options à DENY, il faut ajouter la commande suivante au fichier de configuration de votre site :

Header set X-Frame-Options "DENY"

Afin de configurer Apache sur la valeur X-Frame-Options  à ALLOW-FROM sur un site spécifique, il faut ajouter la commande suivante au fichier de configuration de votre site :

Header set X-Frame-Options "ALLOW-FROM https://example.com/"

Afin de configurer Apache sur la valeur X-Frame-Options à ALLOWALL, il faut ajouter la commande suivante au fichier de configuration de votre site :

Header set X-Frame-Options "ALLOWALL"

Configuration de nginx

Afin de configurer nginx à renvoyer X-Frame-Options header, il faut ajouter ceci à votre configuration "http", "server" ou "location" :

add_header X-Frame-Options SAMEORIGIN;

Configuration IIS

Afin de configurer IIS à renvoyer X-Frame-Options header, il faut ajouter le bloc suivant dans le fichier de configuration  Web.config :

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

Configuration de HAProxy

Afin de configurer HAProxy à renvoyer X-Frame-Options header, il faut ajouter la commande suivante à la configuration du front-end, listen, ou backend :

rspadd X-Frame-Options:\ SAMEORIGIN

Spécifications

Compatibilités avec les navigateurs

Le tableau de compatibilités est généré à partir de donnée structuré. Si vous désirez contribuer à l'alimentaiton de ces données merci de consulter https://github.com/mdn/browser-compat-data et envoyer nous une demande de pull request.

Voir également

• ClickJacking Defenses - IEBlog
• Combating ClickJacking with X-Frame-Options - IEInternals
• HTTP Header Field X-Frame-Options - RFC 7034
• CSP Level 2 frame-ancestors directive