默认情况下,ADFS 3响应包含“X-Frame-Options:DENY”HTTP标头。 这可以防止ADFS在iframe中运行,因为这提供了点击劫持攻击的机会。
目前我的公司正在实现一个集成,这个安全规则应该是一个例外:某个域上的页面应该能够将ADFSembedded到iframe中。
但似乎ADFS不允许改变这个开箱即用的方式。 那么修改这个HTTP头的最好方法是什么?
例如RFC( https://tools.ietf.org/html/rfc7034#section-2.3.2.3 )中所build议的?
想要在帧中呈现所请求的内容的页面将其自己的起源信息提供给提供要经由查询string参数成帧的内容的服务器。
服务器validation主机名是否符合其标准,以便允许页面被目标资源框起。 例如,这可以通过查找被允许构build页面的可信域名白名单来实现。 例如,对于Facebook的“Like”button,服务器可以检查提供的主机名是否与该“Like”button所期望的主机名匹配。
如果在步骤#2中符合适当的条件,则服务器返回“X-Frame-Options:ALLOW-FROM”中的主机名。
- 浏览器强制执行“X-Frame-Options:ALLOW-FROM”标题。
使用Web服务器作为ADFS 3之前的反向代理,并修改HTTP标头。 这可以用Apache或Nginx完成。 在交付之前对其进行彻底testing,因为ADFS 3可能不喜欢拥有代理。 我没有办法提供一个概念certificate
这是一个更多的服务器和服务来pipe理,但我知道这是你必须满足的一个要求