Press "Enter" to skip to content

Les sites Web peuvent-ils bloquer les iFrames ?

Les IFrames sont également utilisées pour afficher des publicités pop-under et pour définir des cookies sur votre ordinateur qui survivent même après la suppression des cookies de votre navigateur. Pour éviter les abus des iFrames, vous pouvez les bloquer des sites Web en utilisant les paramètres de sécurité pour Internet Explorer ou Firefox, et avec un plugin pour Google Chrome.

Q. Comment bloquer les iFrames dans Google Chrome ?

Choisissez « Internet » pour la zone et cliquez sur « Niveau personnalisé… » pour modifier les options de sécurité de ce navigateur sur Internet. Faites défiler jusqu'à la catégorie Divers et cliquez sur "Désactiver" sous "Lancement de programmes et de fichiers dans un IFRAME". Cliquez deux fois sur "OK" pour enregistrer et activer vos modifications.

Q. Comment empêcher le chargement d'un site Web dans une iframe ?

1.) Envoi d'un en-tête de réponse HTTP X-Frame-Options qui demande au navigateur de désactiver le cadrage à partir d'autres domaines. Un exemple d'utilisation de PHP pour envoyer l'en-tête X-Frame-Options. Un exemple d'utilisation de .htaccess pour envoyer l'en-tête X-Frame-Options.

Q. Quel est le meilleur en-tête pour bloquer les iframes ?

Vous pouvez généralement vous contenter d'utiliser l'en-tête X-Frame-Options car il est pris en charge dans plus de navigateurs, tandis que Content-Security-Policy a certaines options qui ne sont prises en charge dans aucun navigateur Microsoft. Pour cette raison, je ne montrerai que l'en-tête X-Frame-Options et ses paramètres.

Q. Comment empêcher le chargement de la page de mon site via 3rd ?

L'en-tête suivant empêchera le document de se charger dans un cadre n'importe où : (IE 11 a cependant besoin du préfixe X-). Vous pouvez également remplacer "aucun" par l'origine sur laquelle le cadrage est autorisé, comme votre propre site. Pour couvrir les anciens navigateurs, il est préférable de l'utiliser avec la réponse de @ Maerlyn.

Q. Une entité malveillante peut-elle iframer une partie de votre site Web ?

Une entité malveillante pourrait iFramer une partie de votre site, puis utiliser HTML pour superposer ses propres éléments tels que des hyperliens malveillants. Un utilisateur pense qu'il clique sur un lien de votre site, mais il clique sans le savoir sur un lien invisible superposé.

Q. Comment protéger une iframe ?

Ça sonne bien, alors qu'est-ce qui pourrait mal tourner?

  1. Exécutez n'importe quel JavaScript, même si cela n'affecte que le contenu de l'iframe.
  2. Modifiez l'URL du parent.
  3. Ouvrez des fenêtres contextuelles, de nouvelles fenêtres ou de nouveaux onglets.
  4. Soumettre des formulaires.
  5. Exécutez des plug-ins.
  6. Utilisez le verrouillage du pointeur.
  7. Lire les cookies ou le stockage local du parent, même s'ils proviennent de la même origine.

Q. Comment empêcher le site Web de se charger dans iframe ?

Pour un navigateur moderne, vous devez activer X-Frame-Options dans l'en-tête. L'en-tête x-frame-options peut être implémenté via les paramètres de configuration du serveur Web. Si votre navigateur ne le prend pas en charge, vous n'aurez AUCUNE défense contre le détournement de clic et pourrez utiliser HTTP Header Field X-Frame-Options,

Q. Comment empêcher votre site Web d'être placé dans un cadre ?

Redémarrez votre programme FTP et utilisez-le pour télécharger votre fichier .htaccess nouvellement modifié (ou nouvellement créé), en écrasant celui existant (le cas échéant) dans le dossier le plus haut de votre site Web. Étant donné que l'envoi des en-têtes empêche votre site d'être placé dans un cadre, le moyen le plus simple de tester est de créer une page qui en cadre une autre sur votre site.

Q. Comment sortir d'une iframe en JavaScript ?

Si la page en question n'est pas la fenêtre supérieure, le code JavaScript ci-dessus suppose que la page a été intégrée dans un iFrame. Il tente ensuite de "sortir" de l'iFrame en changeant la propriété/fenêtre du haut avec la page actuelle (dans ce cas, la "page actuelle" est votre page).