Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Empecher de manipuler le DOM de la page web iframe
bonjour,
je compte rendre dispo une page web de mon site,
via un tag iframe qu'un webmaster lambda peut intégrer
à une page web tiers.
Je souhaite savoir comment empecher que le DOM de la page web de mon site
soit modifié par un code javascript de la page web tiers hebergeant le tag iframe.
Merci d'avance
a priori la directive crossdomain l'interdit par defaut ...
Ma page Developpez - Mon Blog Developpez
Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts)
Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir...
Votre post est résolu ? Alors n'oubliez pas le Tag
Venez sur le Chat de Développez !
"par défaut" ? Est-ce que ca veut dire que ca reste quand même possible ?
Non ça veut dire qu'a priori à partir du parent de l'iframe, toute tentative de prise de main sur un objet de ta page se soldera par un message d'erreur du type "cet objet n'est pas accessible"
Après cette restriction ne vaut que pour javascript
avec un langage serveur rien ne l’empêchera de récupérer le code html de la page et d'y apporter les modifications voulues
Ma page Developpez - Mon Blog Developpez
Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts)
Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir...
Votre post est résolu ? Alors n'oubliez pas le Tag
Venez sur le Chat de Développez !
dans ce cas le code html se résumera à ma balise iframe, non ?
Ou bien vous voulez dire quelque chose du genre : avec curl je recupere le contenu de la page web accessible via le iframe,
j'opere des bidouillage et de restitue le bidouillage via echo ...
oui via curl sur le serveur on eut toujours récupérer le html ...
Ma page Developpez - Mon Blog Developpez
Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts)
Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir...
Votre post est résolu ? Alors n'oubliez pas le Tag
Venez sur le Chat de Développez !
Pour renforcer la sécurité de ta page tu peux l'envoyer avec un en-tête X-Frame-Options avec la directive ALLOW-FROM. Ça reste limité car apparemment tu ne peux autoriser qu'un seul domaine de cette manière, mais au moins ça te permet de restreindre le nombre de tiers qui peuvent inclure ta page.
Quant à la manipulation DOM, elle est possible si la page incluante vient de ton site (même domaine). Je ne connais pas de moyen d'empêcher ça. Si d'autres pages de ton site permettent une inclusion d'iframe avec une URL variable, tu devras faire attention à ça.
La FAQ JavaScript – Les cours JavaScript
Touche F12 = la console → l’outil indispensable pour développer en JavaScript !
d'ailleurs pour une page web à incruster dans une autre,
prendriez-vous un tag iframe ou un tag object ?
aucun des deux... du code serveur
Ma page Developpez - Mon Blog Developpez
Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts)
Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir...
Votre post est résolu ? Alors n'oubliez pas le Tag
Venez sur le Chat de Développez !
pas forcément côté serveur, on peut charger le contenu en AJAX et l'insérer dans le DOM en JavaScript.
Les iframe sont surtout pratiques lorsque la page contenue et la page conteneur ne sont pas sur le même domaine.
Répondre avec citation
Partager