Konfigurieren von X-Frame-Options

Qlik NPrinting unterstützt X-Frame-Options-HTTP-Antwort-Header.

Der X-Frame-Options-Header ist eine Sicherheitsmaßnahme, die verhindert, dass Qlik NPrinting web console und NewsStand in einem <frame> oder <iframe> eingebettet werden. Das Aktivieren von X-Frame-Options-HTTP-Antwort-Headern schützt vor Cross-Frame Scripting (XFS), Clickjacking und anderen Angriffsarten.

XFS-Header-Profile

Die folgende Tabelle zeigt unterschiedliche XFS-Header-Einschränkungsprofile basierend auf X-Frame-Options-Einstellungen.

[XFS-Header-Einschränkungsprofile]
Konfigurationen XFS-Header
xfs.headers.enabled=false Keine

xfs.headers.enabled=true

xfs.headers.option=DENY

X-Frame-Options: DENY

Content-Security-Policy: frame-ancestors 'none'

xfs.headers.enabled=true

xfs.headers.option=SAMEORIGIN

X-Frame-Options: SAMEORIGIN

Content-Security-Policy: frame-ancestors 'self'

xfs.headers.enabled=true

xfs.headers.option=ALLOW-FROM

xfs.headers.allowed_uri=https://domain.com

X-Frame-Options: ALLOW-FROM https://domain.com

Content-Security-Policy: frame-ancestors domain.com

Konfigurieren des X-Frame-Options-Headers

Öffnen der Proxy-Datei

Um X-Frame-Options zu konfigurieren, müssen Sie die Proxy-Konfigurationsdateien für Qlik NPrinting web console und NewsStand bearbeiten. Die Standardspeicherorte für diese Dateien lauten:

  • NewsStand-Proxy-Konfigurationsdatei:
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

  • Qlik NPrinting web console-Proxy-Konfigurationsdatei:
  • %ProgramData%\NPrinting\webconsoleproxy\app.conf

Hinweis: Sie müssen den Qlik NPrinting web engine Dienst anhalten, bevor Sie eine Konfiguration ändern.

Aktivieren von XFS-Headern

Bearbeiten Sie die folgende Einstellung, um XFS-Header zu aktivieren oder zu deaktivieren:

Einstellung: xfs.headers.enabled

Werteoptionen:

  • true
  • false

Standardwert: true

Festlegen der XFS-Header-Optionen

Um spezifische XFS-Header-Optionen festzulegen, bearbeiten Sie die folgende Einstellung:

Einstellung: xfs.headers.option

Werteoptionen:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM

Standardwert: DENY

Zulassen einer bestimmten URL-Adresse

Sie können eine bestimmte zugelassene URL angeben, um Antworten innerhalb eines Frames zu verwenden. Diese Einstellung muss konfiguriert werden, wenn ALLOW-FROM für xfs.headers.option verwendet wird. Sie können mehrere URLs eingeben, indem Sie zwischen den einzelnen URLs ein Leerzeichen eingeben.

Einstellung: xfs.headers.allowed_uri

Beispiel: xfs.headers.allowed_uri=https://domain.com

Standardwert: undefined

Hinweis: Se müssen den Qlik NPrinting web engine Dienst neu starten, damit die Änderungen wirksam werden.