Aller au contenu principal

Contenu d'application sécurisé

SEI peut être intégré dans d'autres sites web—par exemple, certains produits Sage utilisent SEI dans leur portail web. Cependant, cela introduit également le risque d'attaques de clickjacking si des sites malveillants intègrent SEI sans autorisation.

Pour empêcher l'intégration non autorisée, configurez une politique de sécurité du contenu (CSP) avec la directive frame-ancestors. Cela restreint quels sites web peuvent afficher le contenu de SEI dans un iframe.

Ajouter une politique de sécurité du contenu

Vous pouvez appliquer des règles de frame-ancestor en utilisant soit le fichier web.config, soit IIS Manager.

Méthode 1 : Modifier le fichier web.config

  1. Ouvrez l'Explorateur de fichiers et allez à :
    C:\Program Files\Nectari\Nectari Server\WebServer\web.config
  2. Localisez la section <customHeaders>.
  3. Ajoutez ou mettez à jour cette ligne avec vos URL de sites web autorisés :
    <add name="Content-Security-Policy" value="frame-ancestors http://website1.url.com https://website2.url.com"/>
  4. Enregistrez le fichier et redémarrez votre serveur web si nécessaire.

Exemple d'URL

  • http://example.nectari.com
  • https://*.nectari.com
  • Pour le développement en local : http://localhost/*

Votre section <customHeaders> pourrait ressembler à ceci :

<httpProtocol>
    <customHeaders>
        <add name="X-UA-Compatible" value="IE=edge" />
        <!-- Supprime l'en-tête affichant les technologies utilisées par le serveur web -->
        <remove name="X-Powered-By" />
            <add name="Content-Security-Policy" value="frame-ancestors http://localhost/*" />
    </customHeaders>
</httpProtocol>

Méthode 2 : Définir les en-têtes CSP dans IIS

  1. Ouvrez IIS Manager (inetmgr).
  2. Allez sur votre site SEI et ouvrez En-têtes de réponse HTTP dans la section IIS.
  3. Dans le panneau des Actions, cliquez sur Ajouter.
  4. Définissez Nom sur Content-Security-Policy.
  5. Définissez Valeur sur votre liste blanche d'URL de sites autorisés.
  6. Cliquez sur Ok.
  7. Répétez les étapes 3 à 6 pour chaque site autorisé supplémentaire.

Directive X-Frame-Options obsolète

L'en-tête X-Frame-Options plus ancien (comme ALLOWFROM) est principalement non pris en charge dans les navigateurs modernes et ne doit pas être utilisé pour sécuriser SEI dans des scénarios intégrés.

  • SAMEORIGIN et DENY fonctionnent toujours mais ne sont pas recommandés pour les intégrations intégrées.
  • Pour une compatibilité totale avec les navigateurs, préférez toujours la directive CSP frame-ancestors.
important

Évitez d'utiliser les directives obsolètes ALLOWFROM ou ALLOWURL—elles ne sont plus prises en charge dans Chrome, Firefox, et la plupart des navigateurs modernes.