Addon "Contenu en ligne" et Sécurité

L'addon Contenu en ligne utilise une iframe pour afficher du contenu web externe sur votre panneau et la sécurité est notre principale préoccupation lors de l'ajout d'une telle fonctionnalité.

Voici les menaces de sécurité connues liées à l'iframe, et ce que nous avons fait pour les prévenir :

1. Clickjacking : nous bloquons toute interaction avec le contenu de l'iframe, de sorte que l'utilisateur ne pourra pas cliquer sur quoi que ce soit à l'intérieur de l'iframe.
2. Cross-frame scripting (XFS) : ce risque n'est pas lié à l'addon de contenu web. C'est un risque lorsque iObeya est intégré dans une iframe. Nous utilisons Content-Security-Policy : frame-ancestors pour nous assurer qu'iObeya ne peut pas être intégré dans un site web malveillant qui permettrait le cross-frame-scripting.
3. Cross-site-scripting (XSS), phishing iframe et injection iframe : nous appliquons le sandbox sur toutes les iframes afin de bloquer l'iframe pour déclencher la navigation de haut niveau.
4. Menaces liées aux boîtes de dialogue : nous appliquons le principe du bac à sable à toutes les iframes afin de bloquer l'ouverture des boîtes de dialogue par les iframes.
5. Téléchargements fictifs : nous appliquons le principe du bac à sable à toutes les iframes afin de les empêcher de lancer un téléchargement.

Depuis la version 4.22, vous avez la possibilité d'utiliser une white list, pour n'autoriser que certains domaines. Plus d'information ici