Discussion :

[hoodvy]

Bonjour,

Pour des raisons pratiques je souhaiterais mettre une page dans un cadre IFrame et pouvoir protéger cette page contre les reprises sur d'autres sites.

J'ai trouvé un script en PHP qui fonctionne très bien avec tous les navigateurs sauf malheureusement Internet Explorer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
 
  define('MSG_NO_ACCESS', 'No access');
 
  $acceptedDomains = array('mydomain.com', 'a.com', 'b.com');
  $referer=get_domain($_SERVER['HTTP_REFERER']);
 
  if(!$referer || !in_array($referer,$acceptedDomains))
  {
     header('HTTP/1.0 403 Forbidden');
     exit(MSG_NO_ACCESS);
  }
 
function get_domain($url)
{
  $pieces = parse_url($url);
  $domain = isset($pieces['host']) ? $pieces['host'] : '';
  if (preg_match('/(?P<domain>[a-z0-9][a-z0-9\-]{1,63}\.[a-z\.]{2,6})$/i', $domain, $regs)) 
  {
     return $regs['domain'];
  }
  return false;
}
?>

L'idée que j'ai eu, vous l'aurez compris, c'est que cette page ne s'ouvre qu'avec mon nom de domaine en référent.

Si vous avez d'autres idées je suis preneur

Je vous remercie par avance de votre aide.

[headmax]

Je te conseil de voir du côté PHP les techniques CORS et de paramétrer ton propre nom de domaine.

En ce qui concerne le cross domain (ton IFRAME chez des publishers).

Access-Control-Allow-Origin: http://www.domain_de_iframe.com

Activation des headers côté Apache :
http://www.w3.org/wiki/CORS_Enabled#

Controlleur PHP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<?php
//Au tout début
 header("Access-Control-Allow-Origin: http://www.domain_de_iframe.com");

Pour setter ton domain une méthode :
http://dinochiesa.net/?p=754#

[hoodvy]

Merci pour ton aide, apparemment plusieurs possibilités avec avec de nombreux langages.

Malheureusement, mon faible niveau de connaissance ne me permet pas de tout comprendre, j'ai mis sur ma page certain des codes proposés mais en vain, peux tu m'aiguiller ?

Merci

[headmax]

Pour cette technique il faut :

1) Etre adminstrateur du serveur Apache
2) Activé le mod_header (header_module) de Apache

- En SSH ou via un terminal

a2enmod headers

- A la mano

Editer le fichier httpd.conf de apache : décommanté (supprimé le #)

#LoadModule headers_module modules/mod_headers.so

3) redémarrer apache
4) script PHP CORS

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
//Au tout début
//ici on sette les method POST GET OPTIONS (PUT DELETE ... )
$allowedOrigin = "http://www.domain_de_iframe.com";
 header("Access-Control-Allow-Origin: " . $allowedOrigin);
// respond to preflights
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
  // return only the headers and not the content
  // only allow CORS if we're doing a GET - i.e. no saving for now.
  if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD']) &&
      $_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD'] == 'GET' &&
      isset($_SERVER['HTTP_ORIGIN']) &&
      is_approved($_SERVER['HTTP_ORIGIN'])) {
    $allowedOrigin = $_SERVER['HTTP_ORIGIN'];
    $allowedHeaders = get_allowed_headers($allowedOrigin);
    header('Access-Control-Allow-Methods: GET, POST, OPTIONS'); //...
    header('Access-Control-Allow-Origin: ' . $allowedOrigin);
    header('Access-Control-Allow-Headers: ' . $allowedHeaders);
    header('Access-Control-Max-Age: 3600');
 
    //SI ok Ton traitement
  }
  exit;
}
//

Voilà a peux près ce que tu dois faire a quelque chose près .
J'ai pas testé ce code, mais il devrait marché a voir...

[hoodvy]

Un grand merci pour ton aide, reste plus qu'à apprendre le fonctionnement d'un serveur Apache. Car la je suis un peu largué

Grâce à toi j'ai au moins la solution.

[hoodvy]

Je me disais une chose en faisant quelques recherches, es-ce possible de sécuriser une page par un jeton de sécurité (Token).

Je m'explique :

Mes visiteurs cliques sur un lien, ce lien en php génère une chaine, la page sécurisé s'ouvre.

Mais si cette page n'est pas ouverte par le lien (chaine de sécurité), cette page est redirigé ou un message d'erreur s'affiche.

Merci.