点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,我们想使用hybris,因为默认设置是将iframe中的X-frame选项设置为" SAMEORIGIN",以防止点击劫持。
•#设置" X-Frame-Options = SAMEORIGIN"以防止点击劫持攻击•#xss.filter.header.X-Frame-Options = SAMEORIGIN
如果我们删除或停用此设置以在我们的应用程序的iFrame中使用hybris,会是一个普遍的问题吗?
预先感谢您的支持。 BR约尔格
据我所知,默认情况下,hybris建议使用的是安全违规行为,甚至更严格地设置为"跨域起源"限制。 通过允许其他域在i框架内呈现页面,您将同意接受clickjacking攻击,以及相应的跨域起源问题。
根据我的经验,我们创建了一个过滤器,该过滤器将x-frame-options设置为allow-仅来自第三方想要在其i-frame中加载的特定域。
您可以设置ALLOW-FROM *。响应头上的 salesforce.com ",请记住 hybris引擎设置的默认属性也会附加到响应标头中,因此请确保完全禁用,并控制过滤器以拦截所有传入应用程序的请求,并确保设置了allow-from 具有特定域-可能至少阻止入侵者。
确定解决方案后,我会与安全审核专家联系。
其他说明:请注意CSRF允许的URL模式,这取决于您的要求,您不能将任何页面直接从i-frame(第三方域)提交或发布到hybris服务器,因为CSRF限制了该应用程序,并且 保护免受点击劫持)。
谢谢
:Joerg,您能详细解释这两种方法的确切位置吗?我们必须在哪里进行配置或在哪些属性文件中以及在哪个属性文件中进行调试。 我们需要获取第三方网站在iframe中打开的cscokpit网址
您的帮助将感激我们。 致谢,Amol
嗨Joerg,
根据 Clickjacking防御速查表,您可以为X的值提供三个选项 -Frame-Options标头。 最安全的是DENY,因此默认显示在Hybris中。 但是,只要您的安全质量属性要求允许此X-Frame-Options标头值,SAMEORIGIN就应该起作用。
-Greg
嗨,Gregory,再次感谢您的支持。 Allow-From在我们的用例中有效。 最好的问候
一周热门 更多>