Qu'est-ce que l'en-tête HTTP X-Frame-Options ?
L’en-tête de réponse HTTP X-Frame-Options permet de contrôler si un navigateur doit autoriser l’affichage d’une page dans un élément <frame>, <iframe>, <embed> ou <object>.
Les sites web utilisent cet en-tête pour se protéger contre les attaques de clickjacking et empêcher que leur contenu soit intégré dans d’autres sites.
Les deux directives possibles pour X-Frame-Options
|
|
Le chargement de la page dans une frame échouera non seulement sur un site tiers, mais aussi sur un site de la même origine. |
X-Frame-Options: SAMEORIGIN |
Le document peut toujours être affiché dans une frame si celle-ci partage la même origine que le site. |