Contourner le blocage X-Frame-Options

De plus en plus de sites mettent en place une politique ferme de blocage de l'affichage dans des iframes. Cela se fait par l' ajout d'un en-tête HTTP sur le site. 

Par exemple, nous affichons ci-dessous le site le Legifrance. Si vous avez un message d'erreur, c'est que votre navigateur n'est pas paramétré pour passer outre ce type d'autorisation :

Ceci est fait en général pour des raisons de sécurité, car il est en effet assez simple pour des pirates de proposer une fausse URL (via du phishing, par exemple), qui affiche correctement un site via une iframe, mais avec du code malicieux invisible par-dessus cette iframe.

Malheureusement, la visionneuse de Kentika Press affiche les URL dans des iframes, et cette politique a pour résultat que les URL distantes ne s'affiche pas dans la visionneuse, qui affiche à la place des erreurs, ou des pages blanches (en fonction des navigateurs).

Comme il s'agit d'un paramètre de sécurité, il n'y a pas moyen (ni d'intérêt) de contourner ce problème du côté de Kentika. Il n'y a même pas de moyen de le contourner, car le navigateur ne renvoie aucune erreur qui pourrait être récupérable en programmation.

Afin de ne permettre aux utilisateurs de consulter leur produit presse correctement, nous avons cependant mis en place une solution permettant de présenter un message aux utilisateurs plutôt qu'une erreur qu'ils ne comprendront pas.

La rubrique "no iframe"

Cette solution passe par la création d'une rubrique "no iframe" sur les fiches Références (fichier / Préférences / Structure / Références).
Cette rubrique doit avoir pour code "KP_rUIF", et doit être réglée comme ci-dessous : (En rouge sont indiqués les paramètres qui doivent absolument être similaires. Les libellés peuvent en revanche varier.)

Affectez cette rubrique au type de référence concerné.

Cette rubrique permet ensuite (manuellement) de marquer une référence comme n'acceptant pas les iframes. Lorsqu'un article issu de cette référence est présenté dans la visionneuse, Kentika affiche pour l'utilisateur le message suivant :

Cela permet à l'utilisateur de cliquer sur le lien afin d'ouvrir la page dans un autre onglet.

Pour être plus clair, par rapport aux libellés utilisés ci-dessus : Si ma référence a la valeur "Vrai" (1) pour la rubrique "no-iframes", on affiche dans la visionneuse, pour tous les articles liés à cette référence, ce message au lieu de l'URL. Si la valeur est "Faux" (0), on lui affiche l'URL distante directement dans la visionneuse. Si le site a cette politique de blocage, un message d'erreur s'affichera probablement.

Autre cas : http vs https

Il existe un autre cas similaire : Toujours pour des raisons de sécurité, il est impossible d'afficher un iframe en HTTP sur un site en HTTPS, et vice-versa.

Là, Kentika peut le détecter automatiquement, et affiche donc le message ci-dessus dès qu'il voit une différence entre le protocole de l'adresse de votre portail et du site distant.

Plan B : Désactiver la visionneuse

Depuis la v4, il est également possible de désactiver la visionneuse, avec le paramètre W_RR.