Activation de l'en-tête X-Frame-Options

Vous pouvez configurer les paramètres d'en-tête X-Frame-Options pour vous aider à protéger votre site contre le détournement de clic ou clickjacking. Le clickjacking est une technique qui incite un utilisateur Web à cliquer sur un site malveillant, en pensant qu'il s'agit de votre site. Ce site malveillant peut alors révéler des informations confidentielles ou prendre le contrôle de l'ordinateur de l'utilisateur.

Pourquoi et quand exécuter cette tâche

Vous pouvez aider à protéger votre site de cette forme d'attaque en améliorant votre en-tête X-Frame-Options.

Pour d'autres façons de protéger votre site du clickjacking, voir Aide-mémoire de protection contre le clickjacking.

Les valeurs possibles de votre en-tête X-Frame-Options sont les suivantes :
DENY
Cette configuration est la plus restrictive et empêche votre page de site d'être incluse dans un iFrame. Cette option est optimale si vous ne disposez pas d'utilisateurs valides pour un iFrame.
SAMEORIGIN
Si une page parent provient du même domaine que la page de votre site, la page du site peut être incluse dans l'iFrame.
ALLOW-FROM uri
Vous pouvez spécifier un seul URI qui est autorisé à encadrer votre page de site.
Remarque : Cette option n'est pas prise en charge par tous les navigateurs. Pour plus d'informations sur les navigateurs pris en charge, voir Défense des en-têtes de réponse X-Frame-Options.

Procédure

Incluez l'en-tête X-Frame-Options avec une réponse.

Le magasin Aurora a l'en-tête X-Frame-Options activé à l'aide de HttpSecurityFilter. Vous pouvez inclure cet en-tête X-Frame-Options en utilisant l'une des options suivantes :

  • Utilisez l'IBM HTTP Server (IHS)
    L'activation de l'en-tête avec l'IHS est la technique la plus populaire et cette technique assure que l'en-tête est inclus avec toutes les réponses. Pour inclure l'en-tête X-Frame-Options, utilisez une commande similaire à la commande suivante, qui ajoute l'en-tête X-Frame-Options SAMEORIGIN aux réponses :
    Header always append X-Frame-Options SAMEORIGIN
    Pour plus d'informations sur le contrôle et la modification des en-têtes de requête et de réponse HTTP, voir Module Apache mod_headers.
  • Utilisez l'application HCL Commerce.
    1. Accédez au répertoire suivant :
      • LinuxAIX Store_archivedir/Aurora/common
      • Windows Store_archivedir\Aurora\common
    2. Ouvrez le fichier EnvironmentSetup.jspf pour l'éditer et ajoutez-y le code suivant :
      response.setHeader("X-Frame-Options","SAMEORIGIN");
    3. Enregistrez et fermez le fichier.
  • Si vous utilisez Microsoft Internet Information Services (IIS), utilisez IIS Manager pour inclure X-Frames-Options. Pour plus d'informations, voir Atténuation du reniflage de trames avec l'en-tête X-Frame-Options.
  • Pour activer l'en-tête d'Options X-Frame en utilisant HttpSecurityFilter, ajoutez la propriété correspondant à votre fichier wc-component.xml de base étendue. Pour plus d'informations sur la façon de créer un fichier de configuration personnalisé, voir Modification des propriétés dans le fichier de configuration des composants. Les propriétés X-Frame-Options acceptent une valeur true ou false explicite. La valeur true ajoute les options X-Frame avec une valeur DENY ou SAMEORIGIN, en fonction de la propriété. Les noms suivants sont des noms de propriété possibles :
    EnableXFrameOptionsDeny
    Définit la valeur de DENY dans l'en-tête Options X-Frame.
    EnableXFrameOptionsSameOrigin
    Définit la valeur de SAMEORIGIN dans l'en-tête Options X-Frame.

    Par exemple, pour configurer l'en-tête de réponse X-Frame-Options pour le servlet REST où la valeur est définie sur SAMEORIGIN, ajoutez le fragment de code suivant dans le fichier :

    <_config:configgrouping name="HttpSecuritySettings_Rest">
<_config:property name="EnableXFrameOptionsSameOrigin" value="true"/>
</_config:configgrouping>"