Как может x-frame-options HTTP-заголовок ADFS 3 управляться?
По умолчанию ADFS 3 ответа содержат "X-Frame-Options: ОТКЛОНИТЕ" HTTP-заголовок. Это препятствует тому, чтобы ADFS был выполнен в iframe, потому что это представляет возможность для нападений кликджекинга.
В данный момент моя компания однако реализует интеграцию, где исключение должно быть сделано к этому правилу безопасности: страницы на определенном домене должны смочь встроить ADFS в iframe.
Кажется однако, что ADFS не позволяет изменять это out-of-the поле. Таким образом, что лучший способ состоит в том, чтобы изменить этот HTTP-заголовок?
Например, как предложено в RFC (https://tools.ietf.org/html/rfc7034#section-2.3.2.3)?
Страница, которая хочет представить требуемое содержание в кадре, предоставляет свою собственную информацию источника к серверу, обеспечивающему содержание, которое будет структурировано через параметр строки запроса.
Сервер проверяет, что имя хоста соответствует своим критериям, так, чтобы странице позволили быть структурированной целевым ресурсом. Это может, например, произойти через поиск белого списка имен доверяемого домена, которым позволяют структурировать страницу. Например, для кнопки "Like" Facebook, сервер может проверить, чтобы видеть, что предоставленное имя хоста соответствует имени (именам) хоста, ожидаемому для той кнопки "Like".
Сервер возвращает имя хоста в "X-Frame-Options: ПОЗВОЛЬТЕ - ОТ", если надлежащим критериям соответствовали на шаге № 2.
- Браузер осуществляет "X-Frame-Options: ПОЗВОЛЬТЕ - ОТ" заголовка.
Используйте веб-сервер в качестве обратного прокси перед ADFS 3 и измените заголовок HTTP. Это можно сделать с помощью Apache или Nginx . Тщательно проверьте это перед доставкой, так как ADFS 3 может не понравиться прокси.У меня нет способа предоставить Proof of Concept
. Это еще один сервер и сервис для управления, но я понимаю, что это требование, которому вы должны соответствовать