4. Considérations de sécurité
4. Considérations de sécurité
L'utilisation de X-Frame-Options protège contre une forme spécifique d'attaque connue sous le nom de "détournement de clic" (clickjacking). Cependant, il est important de noter qu'il ne fournit pas une protection complète contre toutes les formes de détournement de clic ou d'autres attaques de camouflage d'interface utilisateur.
Le champ d'en-tête HTTP X-Frame-Options indique une politique qui spécifie si le navigateur doit rendre la ressource transmise dans un <frame> ou un <iframe>. Les serveurs peuvent déclarer cette politique dans l'en-tête de leurs réponses HTTP pour prévenir les attaques de détournement de clic, garantissant que leur contenu n'est pas intégré dans d'autres sites.
Cependant, il convient de noter que l'option SAMEORIGIN permet de mettre en cadre les pages si elles ont la même origine que la page d'encadrement. Ceci est important car toutes les implémentations de la politique SAMEORIGIN ne vérifient pas tous les cadres ancêtres. Certaines implémentations ne vérifient que le contexte de navigation de niveau supérieur (la fenêtre), tandis que d'autres vérifient l'ensemble de la chaîne des ancêtres de cadres. Cela signifie que la politique SAMEORIGIN peut être plus permissive que ce que l'opérateur du site a prévu, selon l'implémentation du navigateur. Les opérateurs de site doivent être conscients que l'option SAMEORIGIN peut être interprétée différemment selon les agents utilisateurs, entraînant des variations de comportement. Les implémentations qui ne vérifient que le contexte de navigation de niveau supérieur sont potentiellement plus vulnérables à une attaque de détournement de clic du type imbriqué "un cadre dans un cadre".
L'utilisation de X-Frame-Options comme seul moyen de protection contre le détournement de clic est découragée. Les opérateurs de site devraient envisager d'utiliser la directive frame-ancestors de Content Security Policy en plus ou à la place de X-Frame-Options.
Notez que l'option ALLOW-FROM, lorsqu'elle est prise en charge, permet la mise en cadre à partir d'une origine spécifique. Les opérateurs de site doivent soigneusement considérer s'ils souhaitent autoriser la mise en cadre à partir de l'origine spécifiée, car cela peut exposer les utilisateurs à des attaques de détournement de clic si l'origine spécifiée est compromise.
4.1 Considérations de confidentialité
L'utilisation du champ d'en-tête X-Frame-Options n'introduit aucune considération de confidentialité supplémentaire au-delà de celles déjà inhérentes à HTTP lui-même. La valeur du champ d'en-tête ne contient généralement aucune information sur l'utilisateur ou le comportement de navigation de l'utilisateur.