Home / Blog / Cybersécurité / X-Frame-Options : Protégez votre...
Cybersécurité 2026-01-23

X-Frame-Options : Protégez votre site contre le Clickjacking

Introduction : Comprendre la Menace du Clickjacking

Le clickjacking, également connu sous le nom d'attaque de l'interface utilisateur, est une technique de piratage web malveillante. Elle consiste à tromper l'utilisateur pour qu'il clique sur un élément invisible ou masqué, contrôlé par un attaquant, sur une page web. Cette action peut entraîner des conséquences graves, allant de la divulgation d'informations personnelles à l'exécution de commandes non autorisées, comme des transactions bancaires frauduleuses ou la modification de paramètres sur un compte utilisateur.

L'attaque est généralement réalisée en incorporant le site web ciblé dans une autre page web, via l'utilisation d'une balise <iframe>. L'attaquant superpose alors des éléments interactifs (boutons, liens) sur l'iframe, incitant l'utilisateur à cliquer sur des éléments pensant interagir avec un autre contenu. Par exemple, un attaquant pourrait superposer un bouton "J'aime" Facebook sur un faux lecteur vidéo. L'utilisateur, pensant simplement regarder une vidéo, clique en réalité sur le bouton "J'aime", accordant ainsi à l'attaquant un contrôle potentiel sur son profil social.

Heureusement, il existe des mécanismes de protection efficaces contre le clickjacking. L'un des plus importants est l'en-tête HTTP X-Frame-Options.

X-Frame-Options : Le Gardien de votre Intégration

L'en-tête HTTP X-Frame-Options est une réponse du serveur web qui contrôle si un navigateur peut afficher une page web dans un <frame>, <iframe>, <embed> ou <object>. Il permet de se protéger contre les attaques de clickjacking en limitant l'inclusion d'une page web dans d'autres pages web.

Cet en-tête offre trois directives principales, chacune offrant un niveau de sécurité différent :

  • DENY : La page web ne peut pas être affichée dans un frame, quel que soit le site web tentant de l'intégrer. C'est l'option la plus restrictive et la plus sécurisée.
  • SAMEORIGIN : La page web peut être affichée dans un frame uniquement si le site web et le frame partagent la même origine (même domaine, même protocole, même port). C'est une bonne option si vous souhaitez autoriser l'intégration sur votre propre site.
  • ALLOW-FROM uri : (Cette directive est obsolète dans la plupart des navigateurs modernes et ne doit pas être utilisée) La page web peut être affichée dans un frame uniquement à partir de l'URI spécifiée. Cette option permet une granularité plus fine, mais elle est moins sûre que SAMEORIGIN et DENY car elle peut être sujette à des failles.

Exemples de configuration X-Frame-Options

Voici des exemples de configuration de l'en-tête X-Frame-Options dans différents serveurs web :

  • Apache (via .htaccess) : Header always append X-Frame-Options SAMEORIGIN
  • Nginx : add_header X-Frame-Options SAMEORIGIN;
  • Microsoft IIS : Dans le fichier web.config, ajoutez : <system.webServer> <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> </system.webServer>

Mise en Œuvre Pratique et Vérification

L'implémentation de X-Frame-Options est généralement simple. La configuration se fait au niveau du serveur web, dans le fichier de configuration approprié ou via le panneau d'administration du serveur.

Étapes clés :

  1. Choisissez la directive appropriée : Déterminez si vous souhaitez restreindre totalement l'inclusion (DENY) ou autoriser l'inclusion uniquement sur le même domaine (SAMEORIGIN).
  2. Configurez votre serveur web : Suivez les instructions spécifiques à votre serveur web (Apache, Nginx, IIS, etc.) pour ajouter l'en-tête X-Frame-Options.
  3. Testez votre configuration : Utilisez des outils en ligne tels que SecurityHeaders.com pour vérifier que l'en-tête est correctement configuré et que votre site est protégé. Vous pouvez également tester manuellement en essayant d'intégrer votre site dans une iframe sur une autre page web. Si la protection est effective, l'iframe ne s'affichera pas.

Conseils supplémentaires :

  • Privilégiez DENY : Si vous n'avez pas besoin d'afficher votre site dans un frame sur d'autres sites, utilisez DENY. C'est l'option la plus sûre.
  • Combinez avec d'autres mesures : X-Frame-Options est une couche de protection importante, mais ce n'est pas une solution miracle. Combinez-le avec d'autres pratiques de sécurité web, comme l'utilisation de HTTPS, la validation des entrées utilisateur, et la mise à jour régulière de vos logiciels.
  • Surveillez les logs : Surveillez les logs de votre serveur web pour détecter d'éventuelles tentatives d'attaque et d'erreurs liées à la politique de sécurité des frames.

X-Frame-Options et autres mesures de protection

X-Frame-Options joue un rôle crucial dans la protection contre le clickjacking, mais il ne constitue pas une protection complète. Il est essentiel de combiner cette mesure avec d'autres pratiques de sécurité web pour une défense efficace.

Content Security Policy (CSP)

Le CSP est une couche de sécurité supplémentaire qui permet de contrôler les ressources (scripts, styles, images, etc.) que le navigateur est autorisé à charger pour une page web. Il peut être utilisé pour renforcer la protection contre le clickjacking. En utilisant la directive frame-ancestors, vous pouvez définir quels domaines sont autorisés à intégrer votre site web dans un frame. Cette directive est plus flexible que X-Frame-Options, car elle permet de spécifier plusieurs origines et offre un contrôle plus granulaire.

Validation des entrées utilisateur

La validation des entrées utilisateur est essentielle pour prévenir les attaques d'injection, telles que l'injection de code HTML ou de scripts malveillants. En nettoyant et en validant les données saisies par les utilisateurs, vous pouvez réduire considérablement le risque d'exploitation de vulnérabilités.

HTTPS (SSL/TLS)

L'utilisation de HTTPS (SSL/TLS) est cruciale pour sécuriser les communications entre le navigateur et le serveur. Elle permet de chiffrer les données, empêchant ainsi les attaques de type "man-in-the-middle" et garantissant l'intégrité des données transmises.

Conclusion : Sécuriser l'Expérience Utilisateur

La protection contre le clickjacking est un élément essentiel de la sécurité web. L'en-tête HTTP X-Frame-Options est un outil simple et efficace pour prévenir ce type d'attaque. En suivant les conseils présentés dans cet article, en configurant correctement cet en-tête et en le combinant avec d'autres mesures de sécurité, vous pouvez protéger votre site web et vos utilisateurs contre les menaces potentielles, garantissant ainsi une expérience de navigation plus sûre.

N'oubliez pas de tester régulièrement votre configuration de sécurité et de rester informé des dernières pratiques et vulnérabilités de sécurité web pour maintenir votre site web protégé.

Scan your site now

Check security, SEO & GDPR in 30 seconds

Run free scan

← Back to blog