Passer au contenu principal
Le détournement de clic est une attaque qui amène un utilisateur à cliquer sur un élément d’une page Web qui est invisible ou déguisé en un autre élément. Cette attaque consiste à charger du contenu dans une iframe et à afficher des éléments par-dessus. Dans le contexte des pages , un attaquant pourrait inciter l’utilisateur à cliquer sur un bouton Connexion ou Réinitialisation du mot de passe. Vous pouvez l’empêcher en définissant les en-têtes HTTP suivants : X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none' Même si cette attaque potentielle ne présente pas de risque important, l’ajout de ces en-têtes demeure une bonne pratique de sécurité. De plus, les analyseurs de sécurité détectent leur absence; il se peut donc que les rapports de tests d’intrusion la mentionnent.

Actions

Si vous affichez la page de connexion dans une iframe, l’ajout de ces en-têtes pourrait entraîner une rupture de compatibilité. Ainsi, plutôt que d’ajouter ces en-têtes pour tous les clients, Auth0 vous permet d’y adhérer explicitement, ce que nous vous recommandons fortement d’activer. L’Action suivante n’est pas requise si vous utilisez la nouvelle expérience Universal Login, car ces en-têtes sont alors toujours définis. Pour adhérer à ce changement :
  1. Accédez à Paramètres du locataire > Avancé.
  2. Faites défiler jusqu’à Migrations, puis désactivez le paramètre Disable clickjacking protection for Classic Universal Login.