Firefox 3.6.9 : X-FRAME-OPTIONS contre le clickjacking

La fondation Mozilla pousse ce matin une mise à jour apportant une sécurité accrue à son navigateur : Firefox 3.6.9. Des correctifs ont d’une part été apportés, notamment au niveau du chargement de DLL sous Windows XP, mais une nouvelle fonctionnalité est surtout à noter.

La réponse HTTP X-FRAME-OPTIONS permet en effet de lutter contre le clickjacking en offrant la possibilité aux webmasters de contrôler le comportement d’un site web dans le cas où ce dernier est chargé dans une frame.

Les deux valeurs possibles de X-FRAME-OPTIONS sont :

• DENY : Blocage de la page, que celle-ci soit appelée d’un site tiers ou du site lui-même
• SAMEORIGIN : Blocage de la page lors d’appels de sites tiers mais affichage normal lors d’inclusion au sein du site lui-même

Dans le cas de refus d’affichage, une simple page about:blank sera chargée par Firefox.