Vous pouvez autoriser l'intégration de votre site dans une iframe dans certains cas (par exemple, pour créer une page modèle avec vos sites). Autoriser le chargement d'un site dans une iframe sur un autre site peut permettre à des personnes malveillantes d'utiliser votre site et votre marque pour inciter les visiteurs à cliquer sur un mauvais lien ou à soumettre des données à des sources externes. N'activez cette option que si vous souhaitez que le site soit chargé dans une iframe.
Important :
Par défaut, la possibilité de charger votre site dans une iframe sur un autre site est désactivée. Nous vous recommandons de ne pas modifier cette valeur par défaut, sauf si cela est obligatoire pour votre site. Les sites créés avant le 5 avril 2020 peuvent être affichés dans une iframe.
Pour activer la possibilité de charger le site dans une iframe :
- Dans le panneau de gauche, cliquez sur Paramètres, puis sur Site SSL.
- Cliquez sur le bouton Autoriser le chargement du site dans une iframe.
Paramètres de sécurité
Les paramètres de sécurité suivants ont été implémentés pour informer les navigateurs que le site ne doit pas se charger à l'intérieur d'une iframe :
-
x-frame-options : SAMEORIGIN
-
content-security-policy : frame-ancestors 'self'
Le paramètre x-frame-options est la version originale, tandis que content-security-policy est un paramètre plus récent qui n'est pas encore entièrement pris en charge par tous les navigateurs. Ces paramètres indiquent aux navigateurs que le site ne doit pas être chargé dans une iframe.
Ces paramètres sont implémentés par défaut afin de garantir les meilleures pratiques de sécurité. Empêcher le chargement des sites dans une iframe par défaut est une mesure supplémentaire pour empêcher leur utilisation pour le détournement de clics. Le détournement de clics consiste pour un utilisateur malveillant à charger le site dans une frame, tout en utilisant sa conception pour inciter les utilisateurs à transmettre des informations personnelles susceptibles d'être interceptées ou collectées.