Sécuriser le contenu de l’application

SEI peut être intégré dans d’autres sites Web — par exemple, certains produits Sage utilisent SEI au sein de leur portail Web. Cependant, cette intégration peut exposer l’application à des attaques de type clickjacking si des sites malveillants tentent d’intégrer SEI sans autorisation.

Pour empêcher toute intégration non autorisée, configurez une stratégie de sécurité du contenu (CSP) utilisant la directive frame-ancestors. Celle‑ci limite les sites autorisés à afficher le contenu de SEI dans une iframe.

Ajouter une stratégie de sécurité du contenu

Pour contrôler quels sites sont autorisés à intégrer SEI dans une balise <iframe>, configurez un en‑tête Content-Security-Policy à l’aide du fichier web.config ou du IIS Manager. La directive frame-ancestors définit la liste des sites parents autorisés.

Méthode 1 : Mettre à jour le fichier web.config

Ouvrez l’Explorateur de fichiers et accédez à :
C:\Program Files\Nectari\Nectari Server\WebServer\web.config
Repérez la section <customHeaders>.

Ajoutez ou mettez à jour l’en‑tête CSP avec votre liste d’URL autorisées :

<add name="Content-Security-Policy" value="frame-ancestors http://website1.url.com https://website2.url.com"/>

Enregistrez le fichier et redémarrez le serveur Web si nécessaire.

Exemples d’URL

Type	Exemple d’URL
Domaine standard	`http://example.nectari.com`
Sous‑domaines génériques	`https://*.nectari.com`
Développement local	`http://localhost/*`

Exemple de section customHeaders

<httpProtocol>
    <customHeaders>
        <add name="X-UA-Compatible" value="IE=edge" />
        <!-- Removes the header showing the technologies used by the web server -->
        <remove name="X-Powered-By" />
            <add name="Content-Security-Policy" value="frame-ancestors http://localhost/*" />
    </customHeaders>
</httpProtocol>

Méthode 2 : Configurer les en‑têtes CSP dans IIS

Ouvrez IIS Manager (inetmgr).
Sélectionnez votre site SEI et ouvrez HTTP Response Headers.
Dans le panneau Actions, cliquez sur Ajouter.
Définissez Name sur Content-Security-Policy.
Définissez Value sur votre liste d’URL autorisées.
Cliquez sur Ok.
Répétez les étapes 3 à 6 pour chaque site supplémentaire à autoriser.

Directive X‑Frame‑Options obsolète

L’ancien en‑tête X-Frame-Options (y compris des valeurs comme ALLOWFROM) n’est plus pris en charge par la plupart des navigateurs modernes et ne doit pas être utilisé pour sécuriser SEI dans des scénarios d’intégration.

SAMEORIGIN et DENY fonctionnent encore, mais ne conviennent pas lorsque SEI doit être intégré dans un autre site.
Pour une compatibilité totale avec les navigateurs, utilisez plutôt la directive frame-ancestors de la Content Security Policy.

important

N’utilisez pas les directives obsolètes ALLOWFROM ou ALLOWURL — elles ne sont plus prises en charge par Chrome, Firefox et la majorité des navigateurs modernes.

Ajouter une stratégie de sécurité du contenu​

Méthode 1 : Mettre à jour le fichier web.config​

Exemples d’URL​

Exemple de section customHeaders​

Méthode 2 : Configurer les en‑têtes CSP dans IIS​

Directive X‑Frame‑Options obsolète​