Como o cabeçalho HTTP das opções x-frame do ADFS 3 pode ser manipulado?

7

Por padrão, as respostas do ADFS 3 contêm o cabeçalho HTTP "X-Frame-Options: DENY". Isso impede que o ADFS seja executado em um iframe, porque isso representa uma oportunidade para ataques de clickjacking.

No momento, minha empresa está implementando uma integração em que uma exceção deve ser feita para esta regra de segurança: as páginas em um determinado domínio devem ser capazes de incorporar o ADFS em um iframe.

No entanto, parece que o ADFS não permite alterar isso imediatamente. Então, qual é a melhor maneira de modificar esse cabeçalho HTTP?

Por exemplo, conforme sugerido no RFC ( link )

  1. A page that wants to render the requested content in a frame supplies its own origin information to the server providing the content to be framed via a query string parameter.

  2. The server verifies that the hostname meets its criteria, so that the page is allowed to be framed by the target resource. This may, for example, happen via a lookup of a whitelist of trusted domain names that are allowed to frame the page. For example, for a Facebook "Like" button, the server can check to see that the supplied hostname matches the hostname(s) expected for that "Like" button.

  3. The server returns the hostname in "X-Frame-Options: ALLOW-FROM" if the proper criteria was met in step #2.

  4. The browser enforces the "X-Frame-Options: ALLOW-FROM" header.
    
por wkampmann 16.06.2015 / 12:35

1 resposta

1

Use um servidor da web como proxy reverso na frente do ADFS 3 e modifique o cabeçalho HTTP. Isso pode ser feito com Apache ou Nginx . Teste isso completamente antes de entregá-lo, pois o ADFS 3 pode não gostar de ter um proxy. Eu não tenho como fornecer uma prova de conceito

É mais um servidor e serviço para gerenciar, mas eu entendo que esse é um requisito que você deve cumprir

    
por 31.03.2016 / 20:24