X-Frame-Options Permettent-à Partir de multiples domaines

J'ai un ASP.NET 4.0 IIS7.5 site dont j'ai besoin sécurisé à l'aide de la X-Frame-Options d'en-tête.

J'ai aussi besoin d'activer mes pages du site pour être iframed de mon domaine ainsi que de mon facebook app.

Actuellement, j'ai mon site configuré avec un site dirigé de:

Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite")

Quand j'ai regardé mon Facebook page avec google Chrome ou Firefox de mes sites pages (en cours de iframed avec mon facebook page) sont d'affichage ok, mais sous IE9, j'obtiens l'erreur:

"cette page ne peut être affichée..." (en raison de la X-Frame_Options restriction).

Comment puis-je régler l' X-Frame-Options: ALLOW-FROM pour plus d'un domaine unique?

X-FRAME-OPTION être une nouvelle fonctionnalité semble fondamentalement viciée si un seul domaine peut être défini.

InformationsquelleAutor user1340663 | 2012-04-18
  1. 92

    X-Frame-Options est obsolète. De MDN:


    Cette fonctionnalité a été supprimée à partir des standards du Web. Bien que certains navigateurs peuvent encore soutenir, il est dans le processus de chute. Ne pas utiliser dans un vieux ou de nouveaux projets. Des Pages ou des applications Web à l'aide, elle peut se briser à tout moment.

    L'alternative moderne est la Content-Security-policy en-tête, ainsi que de nombreuses autres politiques peuvent-blanc-la liste de ce que les Url sont autorisés à héberger votre page dans un cadre, à l'aide de la châssis ancêtres directive.

    frame-ancestors prend en charge plusieurs domaines et même des caractères génériques, par exemple:

    Content-Security-Policy: frame-ancestors 'self' example.com *.example.net ;

    Malheureusement, pour l'instant, Internet Explorer ne prend pas en charge le Contenu-de la Politique de Sécurité.

    mise à JOUR: MDN a enlevé leur désapprobation commentaire. Voici un commentaire similaire de W3C du Contenu de la Politique de Sécurité de Niveau

    La frame-ancestors directive obsoletes la X-Frame-Options en-tête. Si une ressource a la fois politiques, la frame-ancestors politique DOIT être appliquée et l' X-Frame-Options politique DOIT être ignorée.

    • image-ancêtres est marqué comme "expérimentale de l'API et ne doit pas être utilisé dans la production de code" sur MDN. + X-Frame-Options n'est pas obsolète mais "non-standard", mais "est largement pris en charge et peut être utilisé en conjonction avec la CSP"
    • Le libellé sur X-Frame-Options changé, et est moins grave maintenant. C'est un bon point qu'il est risqué d'utiliser une spécification qui n'est pas finalisé. Merci!
    • Je ne peux pas trouver le deprectated avertissement sur MDN plus. A Mozilla changé leur opinion?
    • Merci! J'ai mis à jour la réponse à un autre commentaire. J'ai peut-être venir sur trop fort dans ma réponse. De toute façon, X-Frame-Options ne prend pas en charge plusieurs sources.
    • Je pense que la réponse nécessite de ré-organisation. La première phrase dit que c'est déconseillé par le MDN. Ça va être moins trompeur si vous ajoutez votre mise à jour en haut (avec un gras de couleur de mise à JOUR":"). Merci.
    • Notez que l'image-ancêtres ne prendra pas la priorité dans firefox, voir ce bug bugzilla.mozilla.org/show_bug.cgi?id=1024557 et upvote pour essayer de régler ce problème.

    InformationsquelleAutor Kobi
  2. 36

    De RFC 7034:

    Des caractères génériques ou des listes de déclarer plusieurs domaines en un seul PERMETTRE DE déclaration ne sont pas autorisés

    Donc,

    Comment dois-je configurer le X-Frame-Options: AUTORISER-à PARTIR de plus d'un seul domaine?

    Vous ne pouvez pas. Comme solution de contournement, vous pouvez utiliser des Url différentes pour les différents partenaires. Pour chaque URL, vous pouvez utiliser ses propres X-Frame-Options valeur. Par exemple:

    partner   iframe URL       ALLOW-FROM
---------------------------------------
Facebook  fb.yoursite.com  facebook.com
VK.COM    vk.yoursite.com  vk.com

    Pour yousite.com vous pouvez simplement utiliser X-Frame-Options: deny.

    BTW, pour l'instant Chrome (et tous basé sur webkit navigateurs) ne prend pas en charge ALLOW-FROM déclarations à tous.

    • Il ressemble à webkit prend désormais en charge ALLOW-FROM en utilisant le lien que vous avez fourni.
    • Non, ce n'est pas le dernier commentaire sur le lien en question, dit que vous devez utiliser un DSP de la politique à la place. Cette option ne fonctionne toujours pas dans google Chrome.
    InformationsquelleAutor vbo
  3. 7

    Comment sur une approche qui permet non seulement de multiples domaines, mais permet dynamique domaines.

    Le cas d'utilisation est ici avec une application Sharepoint partie qui charge notre site à l'intérieur de Sharepoint via une iframe. Le problème est que sharepoint est dynamique sous-domaines tels que https://yoursite.sharepoint.com. Donc, pour IE, nous devons spécifier PERMETTRE DE https://.sharepoint.com

    Affaire délicate, mais nous pouvons le faire connaître deux faits:

    1. Quand un iframe charge, il ne fait que valider les X-Frame-Options sur la première demande. Une fois que l'iframe est chargé, vous pouvez naviguer à l'intérieur de l'iframe et l'en-tête n'est pas vérifié sur les demandes ultérieures.

    2. Aussi, quand un iframe est chargé, le HTTP referer est le parent iframe url.

    Vous pouvez tirer parti de ces deux faits côté serveur. En ruby, je suis en utilisant le code suivant:

      uri = URI.parse(request.referer)
  if uri.host.match(/\.sharepoint\.com$/)
    url = "https://#{uri.host}"
    response.headers['X-Frame-Options'] = "ALLOW-FROM #{url}"
  end

    Ici on peut dynamiquement permettre domaines basée sur le domaine parent. Dans ce cas, nous nous assurons que l'hôte se termine dans sharepoint.com en gardant notre site à l'abri des clickjacking.

    J'aimerais entendre des commentaires sur cette approche.

    • Attention: ce casse si l'hôte est "fakesharepoint.com". L'expression régulière doit être: /\.sharepoint\.com$/
    • c'est vrai, mais Chrome ne pas rencontrer ce problème. Chrome et plus conformes aux normes navigateurs les plus récents Content Security Policy (CSP) du modèle.
    InformationsquelleAutor Peter P.
  4. 7

    Necromancing.

    Les réponses sont incomplètes.

    Tout d'abord, comme déjà dit, vous ne pouvez pas ajouter de multiples permettent d'hôtes, qui n'est pas pris en charge.

    Deuxièmement, vous devez extraire dynamiquement cette valeur à partir de l'adresse HTTP référent, ce qui signifie que vous ne pouvez pas ajouter de la valeur sur le Web.config, car il n'est pas toujours la même valeur.

    Il sera nécessaire de faire un navigateur de détection pour éviter l'ajout de permettre-à partir de quand le navigateur est Chrome (il se produit une erreur sur le debug console, ce qui peut rapidement remplir la console, ou d'en faire la demande lent). Cela signifie également que vous avez besoin de modifier la ASP.NET la détection du navigateur, comme il l'identifie à tort Bord de Chrome.

    Cela peut être fait en ASP.NET en écrivant un HTTP-module qui s'exécute sur chaque demande, qui ajoute un http en-tête pour toute réponse, en fonction de la demande du référent. Pour Chrome, il a besoin d'ajouter du Contenu-de la Politique de Sécurité. 

    //https://stackoverflow.com/questions/31870789/check-whether-browser-is-chrome-or-edge
public class BrowserInfo
{
public System.Web.HttpBrowserCapabilities Browser { get; set; }
public string Name { get; set; }
public string Version { get; set; }
public string Platform { get; set; }
public bool IsMobileDevice { get; set; }
public string MobileBrand { get; set; }
public string MobileModel { get; set; }
public BrowserInfo(System.Web.HttpRequest request)
{
if (request.Browser != null)
{
if (request.UserAgent.Contains("Edge")
&& request.Browser.Browser != "Edge")
{
this.Name = "Edge";
}
else
{
this.Name = request.Browser.Browser;
this.Version = request.Browser.MajorVersion.ToString();
}
this.Browser = request.Browser;
this.Platform = request.Browser.Platform;
this.IsMobileDevice = request.Browser.IsMobileDevice;
if (IsMobileDevice)
{
this.Name = request.Browser.Browser;
}
}
}
}
void context_EndRequest(object sender, System.EventArgs e)
{
if (System.Web.HttpContext.Current != null && System.Web.HttpContext.Current.Response != null)
{
System.Web.HttpResponse response = System.Web.HttpContext.Current.Response;
try
{
//response.Headers["P3P"] = "CP=\\\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\\\"":
//response.Headers.Set("P3P", "CP=\\\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\\\"");
//response.AddHeader("P3P", "CP=\\\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\\\"");
response.AppendHeader("P3P", "CP=\\\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\\\"");
//response.AppendHeader("X-Frame-Options", "DENY");
//response.AppendHeader("X-Frame-Options", "SAMEORIGIN");
//response.AppendHeader("X-Frame-Options", "AllowAll");
if (System.Web.HttpContext.Current.Request.UrlReferrer != null)
{
//"X-Frame-Options": "ALLOW-FROM " Not recognized in Chrome 
string host = System.Web.HttpContext.Current.Request.UrlReferrer.Scheme + System.Uri.SchemeDelimiter
+ System.Web.HttpContext.Current.Request.UrlReferrer.Authority
;
string selfAuth = System.Web.HttpContext.Current.Request.Url.Authority;
string refAuth = System.Web.HttpContext.Current.Request.UrlReferrer.Authority;
//SQL.Log(System.Web.HttpContext.Current.Request.RawUrl, System.Web.HttpContext.Current.Request.UrlReferrer.OriginalString, refAuth);
if (IsHostAllowed(refAuth))
{
BrowserInfo bi = new BrowserInfo(System.Web.HttpContext.Current.Request);
//bi.Name = Firefox
//bi.Name = InternetExplorer
//bi.Name = Chrome
//Chrome wants entire path... 
if (!System.StringComparer.OrdinalIgnoreCase.Equals(bi.Name, "Chrome"))
response.AppendHeader("X-Frame-Options", "ALLOW-FROM " + host);    
//unsafe-eval: invalid JSON https://github.com/keen/keen-js/issues/394
//unsafe-inline: styles
//data: url(data:image/png:...)
//https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
//https://www.ietf.org/rfc/rfc7034.txt
//https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
//https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
//https://stackoverflow.com/questions/10205192/x-frame-options-allow-from-multiple-domains
//https://content-security-policy.com/
//http://rehansaeed.com/content-security-policy-for-asp-net-mvc/
//This is for Chrome:
//response.AppendHeader("Content-Security-Policy", "default-src 'self' 'unsafe-inline' 'unsafe-eval' data: *.msecnd.net vortex.data.microsoft.com " + selfAuth + " " + refAuth);
System.Collections.Generic.List<string> ls = new System.Collections.Generic.List<string>();
ls.Add("default-src");
ls.Add("'self'");
ls.Add("'unsafe-inline'");
ls.Add("'unsafe-eval'");
ls.Add("data:");
//http://az416426.vo.msecnd.net/scripts/a/ai.0.js
//ls.Add("*.msecnd.net");
//ls.Add("vortex.data.microsoft.com");
ls.Add(selfAuth);
ls.Add(refAuth);
string contentSecurityPolicy = string.Join(" ", ls.ToArray());
response.AppendHeader("Content-Security-Policy", contentSecurityPolicy);
}
else
{
response.AppendHeader("X-Frame-Options", "SAMEORIGIN");
}
}
else
response.AppendHeader("X-Frame-Options", "SAMEORIGIN");
}
catch (System.Exception ex)
{
//WTF ? 
System.Console.WriteLine(ex.Message); //Suppress warning
}
} //End if (System.Web.HttpContext.Current != null && System.Web.HttpContext.Current.Response != null)
} //End Using context_EndRequest
private static string[] s_allowedHosts = new string[] 
{
"localhost:49533"
,"localhost:52257"
,"vmswisslife"
,"vmraiffeisen"
,"vmpost"
,"example.com"
};
public static bool IsHostAllowed(string host)
{
return Contains(s_allowedHosts, host);
} //End Function IsHostAllowed 
public static bool Contains(string[] allowed, string current)
{
for (int i = 0; i < allowed.Length; ++i)
{
if (System.StringComparer.OrdinalIgnoreCase.Equals(allowed[i], current))
return true;
} //Next i 
return false;
} //End Function Contains

    Vous devez vous inscrire à la context_EndRequest fonction dans le HTTP-module de fonction Init. 

    public class RequestLanguageChanger : System.Web.IHttpModule
{
void System.Web.IHttpModule.Dispose()
{
//throw new NotImplementedException();
}
void System.Web.IHttpModule.Init(System.Web.HttpApplication context)
{
//https://stackoverflow.com/questions/441421/httpmodule-event-execution-order
context.EndRequest += new System.EventHandler(context_EndRequest);
}
//context_EndRequest Code from above comes here
}

    Ensuite, vous devez ajouter le module à votre application.
    Vous pouvez soit le faire par programme Mondial.asax par substitution de la fonction Init de la HttpApplication, comme ceci:

    namespace ChangeRequestLanguage
{
public class Global : System.Web.HttpApplication
{
System.Web.IHttpModule mod = new libRequestLanguageChanger.RequestLanguageChanger();
public override void Init()
{
mod.Init(this);
base.Init();
}
protected void Application_Start(object sender, System.EventArgs e)
{
}
protected void Session_Start(object sender, System.EventArgs e)
{
}
protected void Application_BeginRequest(object sender, System.EventArgs e)
{
}
protected void Application_AuthenticateRequest(object sender, System.EventArgs e)
{
}
protected void Application_Error(object sender, System.EventArgs e)
{
}
protected void Session_End(object sender, System.EventArgs e)
{
}
protected void Application_End(object sender, System.EventArgs e)
{
}
}
}

    ou vous pouvez ajouter des entrées pour le Web.config si vous n'avez pas l'application du code source:

          <httpModules>
<add name="RequestLanguageChanger" type= "libRequestLanguageChanger.RequestLanguageChanger, libRequestLanguageChanger" />
</httpModules>
</system.web>
<system.webServer>
<validation validateIntegratedModeConfiguration="false"/>
<modules runAllManagedModulesForAllRequests="true">
<add name="RequestLanguageChanger" type="libRequestLanguageChanger.RequestLanguageChanger, libRequestLanguageChanger" />
</modules>
</system.webServer>
</configuration>

    L'entrée dans le système.le serveur web est pour IIS7+, l'autre dans le système.le web est pour IIS 6.

    Notez que vous devez définir runAllManagedModulesForAllRequests de vrai, pour qu'il fonctionne correctement.

    La chaîne est de type dans le format "Namespace.Class, Assembly".
    Notez que si vous écrivez votre assemblée VB.NET au lieu de C#, visual basic crée un par défaut de l'espace de Noms pour chaque projet, de sorte que votre chaîne va ressembler

    "[DefaultNameSpace.Namespace].Class, Assembly"

    Si vous voulez éviter ce problème, écrire la DLL en C#.

    InformationsquelleAutor Stefan Steiger
  5. 2

    Que par la MDN Spécifications, X-Frame-Options: ALLOW-FROM n'est pas pris en charge dans le Chrome et le soutien est inconnue du Bord et de l'Opéra.

    Content-Security-Policy: frame-ancestors remplace X-Frame-Options (comme par cette W3 spec), mais frame-ancestors a compatibilité limitée. Selon ces MDN Specs, il n'est pas pris en charge dans IE ou Edge.

    InformationsquelleAutor Andrew
  6. 1

    Les RFC pour le Champs de l'Entête HTTP X-Frame-Options stipule que la "AUTORISER le-champ dans le X-Frame-Options valeur d'en-tête peut ne contenir qu'un seul domaine. Plusieurs domaines ne sont pas autorisés.

    Le RFC suggère un travail autour de ce problème. La solution est de spécifier le nom de domaine comme un paramètre de l'url de l'iframe src url. Le serveur qui héberge l'iframe src url peut alors vérifier le nom de domaine donné dans les paramètres de l'url. Si le nom de domaine correspond à une liste de validité des noms de domaine, le serveur peut envoyer le X-Frame-Options d'en-tête avec la valeur: "PERMETTEZ-à PARTIR du nom de domaine", d'où le nom de domaine est le nom du domaine qui est d'essayer d'intégrer le contenu à distance. Si le nom de domaine n'est pas indiquée ou n'est pas valide, alors le X-Frame-Options d'en-tête peuvent être envoyés avec la valeur: "refuser".

    InformationsquelleAutor Nadir Latif
  7. 1

    Strictement parlant, non, vous ne pouvez pas.

    Vous pouvez toutefois spécifier X-Frame-Options: mysite.com et donc de permettre subdomain1.mysite.com et subdomain2.mysite.com. Mais oui, c'est encore un domaine. Il arrive à être certains solution de contournement pour ce problème, mais je pense que c'est plus facile à lire que directement à la RFC spécifications: https://tools.ietf.org/html/rfc7034

    Il est également intéressant de souligner que le Contenu de la Politique de Sécurité (CSP) de l'en-tête frame-ancestor directive obsoletes X-Frame-Options. Lire la suite ici.

    InformationsquelleAutor Jim Aho
  8. 0

    Pas exactement le même, mais pourrait fonctionner pour certains cas: il y a une autre option ALLOWALL qui aura pour effet de supprimer la restriction, ce qui pourrait être une bonne chose pour les tests de pré-production environnements

    • Ce n'est pas documentée sur MDN.
    InformationsquelleAutor Willyfrog
  9. 0

    J'ai dû ajouter X-Frame-Options pour IE et le Contenu de la Politique de Sécurité pour les autres navigateurs.
    J'ai donc fait quelque chose comme suit.

    if allowed_domains.present?
request_host = URI.parse(request.referer)
_domain = allowed_domains.split(" ").include?(request_host.host) ? "#{request_host.scheme}://#{request_host.host}" : app_host
response.headers['Content-Security-Policy'] = "frame-ancestors #{_domain}"
response.headers['X-Frame-Options'] = "ALLOW-FROM #{_domain}"
else
response.headers.except! 'X-Frame-Options'
end
    InformationsquelleAutor jbmyid
  10. -3

    Une solution possible serait d'utiliser un "cadre-breaker" script comme décrit ici

    Vous avez juste besoin de modifier l'instruction "if" pour vérifier votre permis de domaines.

       if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
//your domain check goes here
if(top.location.host != "allowed.domain1.com" && top.location.host == "allowed.domain2.com")
top.location = self.location;
}

    Cette solution de contournement serait à l'abri, je pense. parce qu'avec javascript activé, vous n'aurez pas de problème de sécurité sur un site web malveillant, le cadrage de votre page.

    • Cela ne peut pas fonctionner en raison même de la politique d'origine lors de l'appel d'en haut.emplacement.
    InformationsquelleAutor SinaX
  11. -7

    OUI. Cette méthode a permis à de nombreux domaines.

    VB.NET

    response.headers.add("X-Frame-Options", "ALLOW-FROM " & request.urlreferer.tostring())
    • Cela semble à l'encontre de la finalité de X-Frame-Options, car il permet à n'importe quel site à l'image.
    • Cette réponse me semble qu'il pourrait être une bonne base comme une solution, mais il a besoin de plus logique donc qu'il ne s'exécute ce code si la requête.urlreferer.tostring() est l'une des origines que vous souhaitez autoriser.
    • Si vous faites cela, pourquoi êtes-vous même à l'aide de X-Frame-Options d'en-Tête... juste l'ignorer
    InformationsquelleAutor user4778040