Vous désirerez peut-être autoriser votre site à être intégré à un iframe sur un site différent (par exemple, pour créer une page modèle avec vos sites). En autorisant le chargement du site dans un iframe sur un autre site, vous permettez potentiellement à des acteurs malveillants de se servir de votre site Web et de votre marque pour inciter les visiteurs à cliquer sur un lien trompeur ou à envoyer des données vers des sources externes. N'activez cette option que si vous souhaitez que le site soit chargé dans un iframe.
Pour activer la possibilité de charger le site dans un iframe :
- Dans le panneau de gauche, cliquez sur Paramètres, puis sur SSL du site.
- Cliquez sur le bouton Autoriser le chargement du site dans un iframe pour l'activer.
Paramètres de sécurité
Les paramètres de sécurité suivants ont été créés pour informer les navigateurs que le site ne doit pas être chargé dans un iframe :
- x-frame-options: SAMEORIGIN
- content-security-policy: frame-ancestors 'self'
Le paramètre x-frame-options correspond à la version d'origine, tandis que content-security-policy correspond à un nouveau paramètre qui n'est pour le moment pas entièrement pris en charge par les navigateurs. Ces deux paramètres indiquent aux navigateurs que le site ne doit pas être chargé dans un iframe.
Ces paramètres sont mis en œuvre par défaut afin d'appliquer directement les bonnes pratiques en matière de sécurité. Il s'agit d'une petite mesure qui, en empêchant les sites d'être chargés dans un iframe par défaut, les protège contre le détournement de clic. On appelle détournement de clic (ou clickjacking) le chargement d'un site dans un cadre quelconque par un utilisateur malveillant, et l'utilisation du design du site pour tenter de tromper les utilisateurs et les inciter à partager des données personnelles afin de les intercepter ou recueillir.