Les options X-Frame vous permettent de contrôler si votre base de connaissances peut être intégrée dans <frame>, <iframe>, <embed>, ou <object> des tags sur des domaines externes. Activer ce paramètre ajoute une couche de sécurité qui empêche les sites non autorisés d’intégrer votre base de connaissances, protégeant ainsi vos utilisateurs contre le clickjacking et les attaques de redressement de l’interface utilisateur.
Quand utiliser les options X-Frame
Activez les options X-Frame si l’une des éléments suivants s’applique à votre base de connaissances :
- Votre base de connaissances contient des documents sensibles, ou vous souhaitez protéger les lecteurs contre les tentatives de clickjacking en veillant à ce que le contenu n’apparaisse que sur votre propre domaine.
- Les politiques de conformité ou de sécurité dans votre organisation exigent des restrictions d’intégration iframe.
Avant que tu commences
- Vous devez avoir un accès administrateur au portail de la base de connaissances pour modifier les paramètres de sécurité.
- Si vous utilisez l’intégration basée sur des iframes sur vos propres domaines (par exemple, en intégrant votre base de connaissances dans un portail de support), sachez que l’activation des options X-Frame bloquera également ces insertions. Examinez toutes les intégrations iframe existantes avant d’activer ce paramètre.
Comment activer les options X-Frame

- Passez la souris sur Paramètres () dans la barre de navigation de gauche du portail de la base de connaissances.
- Dans le sous-menu, sélectionnez Site de la base de connaissances et allez jusqu’à Sécurité.
- Localisez le bouton intitulé Activer les options X-Frame et activez-le.
Le réglage entre en vigueur immédiatement. Tout domaine externe qui tente d’intégrer votre base de connaissances à l’aide <frame>de , <iframe>, <embed>, ou <object> de tags sera bloqué.

Exemple : Si votre domaine de base de connaissances est help.example.com et que vous souhaitez empêcher un site comme support.test.com d’intégrer votre contenu dans un iframe, activez le bouton Activer les options X-Frame .
Meilleures pratiques
- Combiné avec la politique de sécurité du contenu (CSP). Les options X-Frame fonctionnent mieux avec un CSP configuré pour une défense en profondeur contre les attaques d’injection et d’embedding.
- Tester après avoir activé. Utilisez les outils développeurs de votre navigateur (onglet réseau → inspectez les en-têtes de réponse pour
X-Frame-Options) ou un outil comme securityheaders.com pour confirmer que l’en-tête est appliqué correctement.
FAQ
Qu’est-ce qu’un iframe ?
Un iframe (cadre en ligne) est un élément HTML qui intègre un autre document HTML dans la page courante. Parce que les iframes peuvent charger du contenu externe à l’intérieur d’une page de confiance, ils constituent un vecteur courant pour les attaques de clickjacking. Les options X-Frame aident à atténuer ce risque en bloquant les inclusions non autorisées.
Comment puis-je tester si les options X-Frame fonctionnent ?
Vous pouvez vérifier que le paramètre est actif de deux manières :
- Ouvrez les outils développeurs de votre navigateur, allez dans l’onglet Réseau et inspectez les en-têtes de réponse de votre page de base de connaissances. Cherche l’en-tête
X-Frame-Options. - Utilisez un vérificateur d’en-tête tiers comme securityheaders.com pour scanner l’URL de votre base de connaissances et confirmer que l’en-tête est présent.
Quels sont les risques de ne pas activer les options X-Frame ?
Sans options X-Frame, n’importe quel site externe peut intégrer votre base de connaissances dans un iframe invisible. Les attaquants peuvent superposer des éléments trompeurs à votre interface pour tromper les utilisateurs afin qu’ils révèlent des mots de passe, cliquent sur des liens malveillants ou entreprennent d’autres actions non intentionnelles — une technique appelée clickjacking. Cela peut entraîner des violations de données et une perte de confiance des utilisateurs.
Qu’est-ce que le clickjacking ?
Le clickjacking (également appelé redressement de l’interface ou masquage de l’interface utilisateur) est une attaque où un acteur malveillant place une couche transparente ou déguisée sur une page web légitime. Les utilisateurs pensent interagir avec la vraie page, mais leurs clics sont capturés par les éléments cachés de l’attaquant. Les conséquences peuvent inclure le téléchargement de malwares, des achats non autorisés ou la divulgation involontaire d’informations sensibles. Les options X-Frame aident à prévenir cela en bloquant votre contenu pour qu’il ne soit intégré sur des sites non autorisés.
Qu’est-ce qu’un site web malveillant ?
Un site web malveillant est un site conçu pour nuire aux visiteurs ou à leurs appareils. Ces sites peuvent tromper les visiteurs en leur faisant télécharger des logiciels malveillants, voler des informations personnelles ou se livrer à des activités frauduleuses. L’utilisation des options X-Frame aide à empêcher que votre contenu soit intégré sur ces sites, renforçant ainsi vos mesures de sécurité contre ces risques.