Max, j'ai un souci avec ton site
http://test-smf.entre-aide.org/ que tu passes en responsive.
Je ne peux pas voir comment rend le site avec mon outil "Web Developer" sur différentes résolutions d'écran à cause de l'entête "
X-Frame-Options" que tu as défini à
SAMEORIGIN.
Je sais ce que c'est que le "clickjacking", le même header est défini ici pour lutter contre ça.
Mais est-ce qu'on pourrait trouver une solution pour que tu retires cet header ?
Je sais pas moi, on pourrait se donner une heure et un jour. Non ?
Précisions pour les nuls :Quand vous vous connectez à un site web, celui ci répond en transmettant ce que l'on appelle des headers, des entêtes en français.
Principalement, ces headers avertissent le navigateur de ce qu'il va recevoir. Le plus souvent, un header dira au navigateur qu'une page HTML arrive et un autre header donnera la taille de cette page.
Mais il existe d'autres headers dédiés à la sécurité.
Si un header
X-Frame-Options est transmis au navigateur avec un type de paramètre précis, ce navigateur refusera d'afficher le site dans un autre.
Je m'explique : Il existe une technique appelée "clickjacking". Cette technique consiste à afficher une page web dans une autre.
Exemple : Je possède le site
example.com et je veux voler les identifiants des membres de
chez-oim.org.
Il me suffit d'afficher le site
chez-oim.org sur le mien pour tromper l'utilisateur. Ensuite, quand l'utilisateur voudra s'identifier, il me suffira d'afficher une page bien à moi qui imite le look de
chez-oim.org.
Et voilà ! En moins de temps qu'il en faut pour le dire, j'ai volé des identifiants !
C'est à ça que sert l'header
X-Frame-Options.
Selon son paramétrage, il demande au navigateur de ne pas afficher d'autres sites que celui qui figure dans la barre d'adresse.