Aller au contenu principal

Contenu d'Application Sécurisé

SEI peut être intégré dans d'autres sites web—par exemple, certains produits Sage utilisent SEI au sein de leur portail web. L'intégration peut introduire le risque d'attaques de clickjacking si des sites malveillants tentent d'incorporer SEI sans autorisation.

Pour prévenir l'intégration non autorisée, configurez une politique de sécurité des contenus (CSP) avec la directive frame-ancestors. Cela restreint les sites web qui peuvent afficher le contenu de SEI dans une iframe.

Ajouter une politique de sécurité des contenus

Vous pouvez appliquer des règles frame-ancestors en utilisant soit le fichier web.config, soit le Gestionnaire IIS.

Méthode 1 : Modifier le fichier web.config

  1. Ouvrez l'Explorateur de fichiers et allez à :
    C:\Program Files\Nectari\Nectari Server\WebServer\web.config
  2. Localisez la section <customHeaders>.
  3. Ajoutez ou mettez à jour cette ligne avec vos URLs de site autorisées :
    <add name="Content-Security-Policy" value="frame-ancestors http://website1.url.com https://website2.url.com"/>
  4. Enregistrez le fichier et redémarrez votre serveur web si nécessaire.

Exemple d'URLs

  • http://example.nectari.com
  • https://*.nectari.com
  • Pour le développement en local : http://localhost/*

Votre section <customHeaders> pourrait ressembler à :

<httpProtocol>
    <customHeaders>
        <add name="X-UA-Compatible" value="IE=edge" />
        <!-- Supprime l'en-tête affichant les technologies utilisées par le serveur web -->
        <remove name="X-Powered-By" />
            <add name="Content-Security-Policy" value="frame-ancestors http://localhost/*" />
    </customHeaders>
</httpProtocol>

Méthode 2 : Définir les en-têtes CSP dans IIS

  1. Ouvrez Gestionnaire IIS (inetmgr).
  2. Connectez-vous à SEI et ouvrez En-têtes de réponse HTTP dans la section IIS.
  3. Dans le panneau Actions, cliquez sur Ajouter.
  4. Mettez Nom à Content-Security-Policy.
  5. Mettez Valeur à votre liste blanche des URLs de site autorisées.
  6. Cliquez sur Ok.
  7. Répétez les étapes 3–6 pour chaque site supplémentaire autorisé.

Directive X-Frame-Options Obsolète

L'en-tête X-Frame-Options plus ancien (comme ALLOWFROM) est principalement non pris en charge dans les navigateurs modernes et ne devrait pas être utilisé pour sécuriser SEI dans des scénarios intégrés.

  • SAMEORIGIN et DENY fonctionnent toujours mais ne sont pas recommandés pour des intégrations intégrées.
  • Pour une compatibilité complète des navigateurs, utilisez toujours la directive CSP frame-ancestors.
important

Évitez d'utiliser les directives obsolètes ALLOWFROM ou ALLOWURL—elles ne sont plus prises en charge dans Chrome, Firefox et la plupart des navigateurs modernes.