Konfigurieren von X-Frame-Options
Qlik NPrinting unterstützt X-Frame-Options-HTTP-Antwort-Header.
Der X-Frame-Options-Header ist eine Sicherheitsmaßnahme, die verhindert, dass Qlik NPrinting Web Console und NewsStand in einem <frame> oder <iframe> eingebettet werden. Das Aktivieren von X-Frame-Options-HTTP-Antwort-Headern schützt vor Cross-Frame Scripting (XFS), Clickjacking und anderen Angriffsarten.
XFS-Header-Profile
Die folgende Tabelle zeigt unterschiedliche XFS-Header-Einschränkungsprofile basierend auf X-Frame-Options-Einstellungen.
Konfigurationen | XFS-Header |
---|---|
xfs.headers.enabled=false | Keine |
xfs.headers.enabled=true xfs.headers.option=DENY |
X-Frame-Options: DENY Content-Security-Policy: frame-ancestors 'none' |
xfs.headers.enabled=true xfs.headers.option=SAMEORIGIN |
X-Frame-Options: SAMEORIGIN Content-Security-Policy: frame-ancestors 'self' |
xfs.headers.enabled=true xfs.headers.option=ALLOW-FROM xfs.headers.allowed_url=https://domain.com |
X-Frame-Options: ALLOW-FROM https://domain.com Content-Security-Policy: frame-ancestors domain.com |
Konfigurieren des X-Frame-Options-Headers
Öffnen der Proxy-Datei
Um X-Frame-Options zu konfigurieren, müssen Sie die Proxy-Konfigurationsdateien für Qlik NPrinting Web Console und NewsStand bearbeiten. Die Standardspeicherorte für diese Dateien lauten:
- NewsStand-Proxy-Konfigurationsdatei:
- Qlik NPrinting Web Console-Proxy-Konfigurationsdatei:
%ProgramData%\NPrinting\newsstandproxy\app.conf
%ProgramData%\NPrinting\webconsoleproxy\app.conf
Aktivieren von XFS-Headern
Bearbeiten Sie die folgende Einstellung, um XFS-Header zu aktivieren oder zu deaktivieren:
Einstellung: xfs.headers.enabled
Werteoptionen:
- true
- false
Standardwert: true
Festlegen der XFS-Header-Optionen
Um spezifische XFS-Header-Optionen festzulegen, bearbeiten Sie die folgende Einstellung:
Einstellung: xfs.headers.option
Werteoptionen:
- DENY
- SAMEORIGIN
- ALLOW-FROM
Standardwert: DENY
Zulassen einer bestimmten URL-Adresse
Sie können eine bestimmte zugelassene URL angeben, um Antworten innerhalb eines Frames zu verwenden. Diese Einstellung muss konfiguriert werden, wenn ALLOW-FROM für xfs.headers.option verwendet wird. Sie können mehrere URLs eingeben, indem Sie zwischen den einzelnen URLs ein Leerzeichen eingeben.
Einstellung: xfs.headers.allowed_uri
Beispiel: xfs.headers.allowed_uri=https://domain.com
Standardwert: undefined