Vous désirerez peut-être autoriser votre site à être intégré à un iframe sur un site différent (par exemple, pour créer une page modèle avec vos sites). En autorisant le chargement du site dans un iframe sur un autre site, vous permettez potentiellement à des acteurs malveillants de se servir de votre site Web et de votre marque pour inciter les visiteurs à cliquer sur un lien trompeur ou à envoyer des données vers des sources externes. N'activez cette option que si vous souhaitez que le site soit chargé dans un iframe.
Attention
La possibilité de charger votre site dans un iframe sur un autre site est désactivée par défaut. Nous vous recommandons de ne pas modifier ce paramètre par défaut à moins que ce ne soit obligatoire pour un site particulier. Les sites créés avant le 5 avril 2020 sont autorisés à être affichés dans un iframe.
Pour activer la possibilité de charger le site dans un iframe :
-
Dans le panneau de gauche, cliquez sur Paramètres, puis sur SSL du site.
-
Cliquez sur l'option Autoriser le chargement du site dans une iframe.
Les paramètres de sécurité suivants ont été créés pour informer les navigateurs que le site ne doit pas être chargé dans un iframe :
-
x-frame-options: SAMEORIGIN
-
content-security-policy: frame-ancestors 'self'
Le paramètre x-frame-options est la version originale, tandis que content-security-policy est un paramètre plus récent qui n'est pas encore totalement pris en charge par tous les navigateurs. Ils indiquent aux navigateurs que le site ne doit pas être chargé dans une iframe.
Ces paramètres sont mis en œuvre par défaut afin d'appliquer directement les bonnes pratiques en matière de sécurité. Il s'agit d'une petite mesure qui, en empêchant les sites d'être chargés dans un iframe par défaut, les protège contre le détournement de clic. On appelle détournement de clic (ou clickjacking) le chargement d'un site dans un cadre quelconque par un utilisateur malveillant, et l'utilisation du design du site pour tenter de tromper les utilisateurs et les inciter à partager des données personnelles afin de les intercepter ou recueillir.