L'élément HTML iframe permet d'imbriquer un contenu extérieur dans votre page courante. C'est utilisé notamment pour intégrer une vidéo provenant de Youtube ou Vimeo, et pour bien d'autres usages. Mais savez-vous que cela constitue une faille de sécurité ?
C'est une blague ?
Et non ce n'est pas une blague, en intégrant un contenu extérieur à votre site par l'intermédiaire d'une iframe, il est possible d'exécuter sur votre site du javascript, d'ouvrir des popups et bien d'autres choses. Mais l'attribut sandbox, pour "bac à sable", est la pour vous aider :
<iframe sandbox src="..."></iframe>
Dès que vous ajoutez cet attribut, les restrictions suivantes se mettent en place sur l'url intégrée :
- Aucun code javascript ne peut s'exécuter
- Aucune requête AJAX ne peut fonctionner
- Limitation des capacités de stockage du navigateur
- Pas de popup (ouverture en nouvelle fenêtre)
- Pas d'envoi de formulaire
- Aucun chargement de plugins tiers comme Flash, Silverlight ou applet Java
- Aucune information disponible pour les mouvements de souris (API Pointer Lock)
Un peu contraignant tout ça... Et si vous avez besoin d'exécuter un peu de javascript ou lancer des requêtes AJAX ou autres ?
L'attribut sandbox accepte différentes valeurs
<iframe sandbox="..." src="..."></iframe>
- allow-forms : L'envoi de formulaire est autorisé
- allow-scripts : Le javascript est autorisé
- allow-same-origin : Les requêtes AJAX sont autorisées (et plus largement les restrictions liées au mécanisme CORS sont levées)
- allow-top-navigation : L'iframe a le droit d'accéder à la page parente
- allow-popups : L'ouverture en nouvelle fenêtre (popup) est autorisé
- allow-pointer-lock : L'API Pointer Lock est utilisable
- allow-orientation-lock : L'orientation de l'écran peut être dévérouillé
Concernant une intégration d'une vidéo Youtube il faudra faire confiance à Google et ajouter allow-scripts allow-same-origin si vous souhaitez utiliser l'attribut sandbox
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 25 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Guide pratique des commandes Gmail
28 décembre 2025 Gmail intègre un moteur de recherche très puissant, souvent sous-utilisé. Grâce à des commandes de recherche avancées, il est possible de retrouver rapidement des emails par date, taille, expéditeur, pièces jointes ou contenu précis.
Mots de passe robustes : comment les créer et les gérer efficacement
27 décembre 2025 Le mot de passe reste aujourd’hui la première ligne de défense pour la majorité des comptes. Pourtant, des mots de passe faibles ou mal gérés sont encore responsables d’une grande partie des compromissions
Quelques indicateurs sur la cybersécurité en 2025
27 décembre 2025 Les analyses récentes en cybersécurité confirment une tendance forte : en 2024–2025, les attaques exploitent de plus en plus le facteur humain
Bjr
Est ce que cela permettrait de tracker l envoi du formulaire avec google tag manager et google analytics?
Merci
Il y a 4 ans | Répondre
@Solange
Bonjour,
Habituellement un formulaire ne sera pas dans une iframe mais s'affichera directement dans la page de votre site. Un code javascript fourni par Google vous permettra de tracker leur envoi.
Il y a 4 ans | Répondre