Discussion :

[metzfr]

Bonjour à tous,

J'ai une question de sécurité sur les iFrame à vous soumettre

Mon site principale (parent) affiche une iFrame qui permet de faire des paiement par carte de crédit.

Cet iFrame est géré par un tiers (domaine différent), et c'est très bien comme cela.

Je voudrais empêcher à mon site parent d'avoir accès aux champs de l'iFrame. Et surtout, être capable de m'assurer qu'il ne peut pas le faire.

Je pense que d'habitude, on souhaite accéder aux données de l'iFrame, mois c'est l'inverse ! :-)

Comment puis-je m'assurer de cela ? Quel test pourrais-je mettre en place pour vérifier automatiquement que mon site parent ne peux jamais accéder à l'iFrame ?

Merci pour votre aide.

Fred

[fredoche]

Il me semble que par défaut la "Same Origin Policy" interdit cet accès au contenu de l'iframe puisque elle provient d'un domaine tiers

[metzfr]

Hello,

Merci pour ta réponse.

C'est ce qui me semble aussi.
Mais comment le prouver par un test?

Par exemple, si un header http autorisait l'accès aux objets de l'iFrame, je pourrais test l'absence de ce header.

finalement, ma question pourrait être : comment autoriser le site parent à accéder aux données de l'iFrame ? Et donc je testerais que ce n'est pas en place chez moi.

Fred

[fredoche]

en principe pour autoriser ces accès cross-domain il faut utiliser CORS :
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

récupérer les entêtes http de ton iframe ne sera pas simple, en javascript dans un navigateur tout du moins.

tu peux le faire via XMLHttpRequest et getAllResponseHeaders

[Oppidum-Security]

Il me semble que par défaut la "Same Origin Policy" interdit cet accès au contenu de l'iframe puisque elle provient d'un domaine tiers

Fredoche a raison. Rien à faire dans ton cas. Ton site web ne pourra interagir avec l'Iframe de paiement.

Assure toi juste que tu ton site web et ta société sont conforme PCI DSS avec le SAQ A. Plus d'information ici