Comment puis-je autoriser ou empêcher mon site d’être incorporé en tant qu’iFrame sous des domaines étrangers ?
Pour permettre au compositeur d’expérience visuelle (VEC) d’incorporer votre site web dans un iFrame, la CSP (si elle est définie) doit être modifiée dans le paramètre de votre serveur web. Les domaines Adobe doivent être mis en liste blanche et configurés.
Pour des raisons de sécurité, vous pouvez empêcher votre site d’être incorporé en tant qu’iFrame sous des domaines étrangers.
Les sections suivantes expliquent comment autoriser ou empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame.
Autorisation du VEC à incorporer votre site dans un iFrame
La solution la plus simple pour permettre au VEC d’incorporer votre site web dans un iFrame est d’autoriser *.adobe.com
, qui est le caractère générique le plus large.
Par exemple :
Content-Security-Policy: frame-ancestors 'self' *.adobe.com
Comme dans l’illustration suivante (cliquez pour agrandir) :
Vous pouvez uniquement autoriser le service Adobe réel. Ce scénario peut être réalisé en utilisant *.experiencecloud.adobe.com + https://experiencecloud.adobe.com
.
Par exemple :
Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com
Comme dans l’illustration suivante (cliquez pour agrandir) :
L’accès le plus restrictif au compte d’une entreprise peut être obtenu en utilisant https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com
, où <Client Code>
représente votre code client spécifique.
Par exemple :
Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com
Comme dans l’illustration suivante (cliquez pour agrandir) :
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;
Empêcher le VEC d’incorporer votre site dans un iFrame
Pour empêcher le compositeur d’expérience visuelle d’incorporer votre site dans un iFrame, vous pouvez restreindre à "vous" uniquement.
Par exemple :
Content-Security-Policy: frame-ancestors 'self'
Comme illustré ci-dessous (cliquez pour agrandir) :
Le message d'erreur suivant s'affiche :
Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".