Prévention de l'intégration d'iframe tiers

Les propriétaires de sites Web sont souvent confrontés au problème de l'intégration de leurs pages dans des frames (iframes) tiers. sites Web. Bien que l'en-tête de requête du référent s'avère inefficace pour détecter ce scénario lors du chargement de la page, il existe plusieurs approches pour résoudre ce problème.

Détection JavaScript

Une fois la page chargée, JavaScript peut être utilisé pour détecter s’il est affiché dans un cadre. En comparant les propriétés top et self, on peut déterminer si la page est intégrée. S'ils diffèrent, la page se trouve dans une iframe.

En-tête X-FRAME-OPTIONS

Certains navigateurs modernes prennent en charge l'en-tête X-FRAME-OPTIONS, qui propose deux options :

• DENY : empêche le chargement de la page si elle se trouve dans une iframe
• SAMEORIGIN : ​​restreint le chargement au même domaine que le cadre parent

Les navigateurs tels que Picasa respectent cet en-tête et empêchent l'intégration de sites Web tiers.

Prise en charge des navigateurs pour X-FRAME-OPTIONS Header

Navigateurs prenant en charge X-FRAME-OPTIONS avec leurs versions minimales inclure :

• IE8 et IE9
• Opera 10.50
• Safari 4
• Chrome 4.1.249.1042
• Firefox 3.6.9 (ou plus ancien avec l'extension NoScript)