Vaincre le Frame Busting Buster Considérez le scénario dans lequel vous souhaitez empêcher d'autres sites Web d'intégrer votre site dans un . Pour ce faire, vous intégrez le JavaScript anti-frame suivant dans vos pages :</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre>/* break us out of any containing iframes */ if (top != self) { top.location.replace(self.location.href); }</pre><div class="contentsignin">Copier après la connexion</div></div> <p>Bien qu'efficace, ce code peut être contourné par un anti-frame buster :</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre><script type="text/javascript"> var prevent_bust = 0 window.onbeforeunload = function() { prevent_bust++ } setInterval(function() { if (prevent_bust > 0) { prevent_bust -= 2 window.top.location = 'http://example.org/page-which-responds-with-204' } }, 1) </script></pre><div class="contentsignin">Copier après la connexion</div></div> <p>Ce buster fonctionne en :</p> <ul> <li>Incrémenter un compteur sur toute tentative de navigation en dehors du page</li> <li>Utiliser un timer pour rediriger la page vers le serveur de l'attaquant si le compteur augmente</li> <li>Récupérer un code d'état HTTP 204, empêchant toute navigation ultérieure</li> </ul> <p><strong> Alors, comment vaincre le casse-cadre ?</strong></p> <p>Une approche efficace consiste à utiliser le X-Frame-Options : directive de refus, prise en charge par la plupart des navigateurs modernes. Cette directive empêche le cadrage même lorsque les scripts sont désactivés :</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre>X-Frame-Options: deny</pre><div class="contentsignin">Copier après la connexion</div></div> <p><strong>Support du navigateur :</strong></p> <ul> <li> <strong>IE8 :</strong> https://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx</li> <li> <p><strong>Firefox (3.6.9) :</strong></p> <ul> <li>https://bugzilla.mozilla.org/show_bug.cgi?id=475530</li> <li>htt ps://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header</li> </ul> </li> <li> <p><strong>Chrome/Webkit :</strong></p> <ul> <li>http://blog.chromium.org/2010/01/security-in-owned-new-security-features.html</li> <li>http://trac.webkit.org/changeset/42333</li> </ul> </li> </ul>
