Bonjour Sylvain,
Merci de ta réponse rapide !
J'avais bien ajouté cette directive dans la configuration de Nginx (dans le premier bloc server qui écoute le port 443), cela "n'écrase" pas la directive "SAMEORIGIN" et résulte en un conflit de valeurs.
J'ai le message suivant dans la console de chrome :
Refused to display 'https://fabmanager.monsite.com/#!/' in a frame because it set multiple 'X-Frame-Options' headers with conflicting values ('SAMEORIGIN, ALLOW-FROM https://monsite.com'). Falling back to 'deny'.
D'ailleurs quand j'utilise la commande cURL dans le terminal pour accéder au sous domaine qui pointe vers le VPS de FabManager, l'en-tête http contient les deux directives.
J'ai aussi essayé d'effectuer un grep du repos git de fabmanager, du dossier /etc/Nginx et /etc/Apache2 avec l'expression "X-Frame-Options" sans parvenir à trouver d'où venait cette directive.
Merci pour le conseil, je vais essayer également avec frame-ancestors.
EDIT :
J'ai testé la directive avec "frame-ancestors", et elle a l'air d'écraser celle avec "X-Frame-Options", cela donne la directive suivante :
add_header Content-Security-Policy "frame-ancestors monsite.com";
Il faudra que je jettes un coup d'oeil à la compatibilité avec des navigateurs plus anciens.
Merci beaucoup Sylvain pour ton aide !
ps : j'ai fait quelques mises à jour au niveau de la documentation et des fichiers de configuration d'exemples dans un fork perso du repo de fabmanager, suite aux petits soucis que j'ai pu rencontrer pendant le déploiement.