Configuration de X-Frame-Options

Qlik NPrinting prend en charge les en-têtes de réponse HTTP X-Frame-Options.

L'en-tête X-Frame-Options est une mesure de sécurité qui bloque l'incorporation de Qlik NPrinting web console et de NewsStand dans un en-tête <frame> ou <iframe>. L'activation des en-têtes de réponse HTTP X-Frame-Options permet de lutter contre diverses formes d'attaques, notamment de type XFS (Cross-Frame Scripting) et détournement de clic (ou « clickjacking »).

Profils d'en-têtes XFS

Le tableau suivant illustre différents profils de restriction d'en-têtes XFS basés sur des paramètres X-Frame-Options.

[Profils de restriction d'en-têtes XFS]
Configurations En-tête XFS
xfs.headers.enabled=false Aucun

xfs.headers.enabled=true

xfs.headers.option=DENY

X-Frame-Options: DENY

Content-Security-Policy: frame-ancestors 'none'

xfs.headers.enabled=true

xfs.headers.option=SAMEORIGIN

X-Frame-Options: SAMEORIGIN

Content-Security-Policy: frame-ancestors 'self'

xfs.headers.enabled=true

xfs.headers.option=ALLOW-FROM

xfs.headers.allowed_uri=https://domain.com

X-Frame-Options: ALLOW-FROM https://domain.com

Content-Security-Policy: frame-ancestors domain.com

Configuration d'un en-tête X-Frame-Options

Ouverture du fichier proxy

Pour configurer X-Frame-Options, vous devez éditer les fichiers de configuration proxy relatifs à Qlik NPrinting web console et NewsStand. Ces fichiers sont situés aux emplacements par défaut suivants :

  • Fichier de configuration proxy de NewsStand :
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

  • Fichier de configuration proxy de Qlik NPrinting web console :
  • %ProgramData%\NPrinting\webconsoleproxy\app.conf

Remarque: Avant de modifier la configuration, vous devez arrêter le service Qlik NPrinting web engine.

Activation des en-têtes XFS

Pour activer ou désactiver les en-têtes XFS, éditez le paramètre suivant :

Paramètre : xfs.headers.enabled

Valeurs possibles :

  • true
  • false

Valeur par défaut : true

Définition des options d'en-tête XFS

Pour définir des options d'en-tête XFS spécifiques, éditez le paramètre suivant :

Paramètre : xfs.headers.option

Valeurs possibles :

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM

Valeur par défaut : DENY

Autorisation d'une adresse URL spécifique

Vous pouvez spécifier une URL qui est autorisée à utiliser les réponses au sein d'un cadre. Ce paramètre doit être configuré lorsque la valeur ALLOW-FROM est définie pour le paramètre xfs.headers.option. Vous pouvez indiquer plusieurs URL en insérant un espace entre les différentes adresses URL.

Paramètre : xfs.headers.allowed_uri

Exemple : xfs.headers.allowed_uri=https://domain.com

Valeur par défaut : undefined

Remarque: Vous devez redémarrer le service Qlik NPrinting web engine pour que vos modifications entrent en vigueur.