Configurando o X-Frame-Options

O Qlik NPrinting oferece suporte a X-Frame-Options cabeçalhos de resposta HTTP.

O cabeçalho X-Frame-Options é uma medida de segurança que impede a incorporação do Qlik NPrinting web console e do NewsStand em um <frame> ou <iframe>. Habilitando X-Frame-Options Os cabeçalhos de resposta HTTP defendem contra XFS (Cross-Frame Scripting), clickjacking e outras formas de ataque.

Perfis de cabeçalhos XFS

A tabela a seguir ilustra diferentes perfis de restrição de cabeçalhos XFS com base nas configurações de X-Frame-Options.

[Perfis de restrição de cabeçalhos XFS]
Configurações Cabeçalho XFS
xfs.headers.enabled=false Nenhuma

xfs.headers.enabled=true

xfs.headers.option=DENY

X-Frame-Options: DENY

Content-Security-Policy: frame-ancestors 'none'

xfs.headers.enabled=true

xfs.headers.option=SAMEORIGIN

X-Frame-Options: SAMEORIGIN

Content-Security-Policy: frame-ancestors 'self'

xfs.headers.enabled=true

xfs.headers.option=ALLOW-FROM

xfs.headers.allowed_uri=https://domain.com

X-Frame-Options: ALLOW-FROM https://domain.com

Content-Security-Policy: frame-ancestors domain.com

Configurando seu cabeçalho do X-Frame-Options

Abrindo o arquivo de proxy

Para configurar o X-Frame-Options, você deve editar os arquivos de configuração de proxy do Qlik NPrinting web console e do NewsStand. Os locais padrão desses arquivos são:

  • Arquivo de configuração do proxy NewsStand:
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

  • Arquivo de configuração do proxy Qlik NPrinting web console:
  • %ProgramData%\NPrinting\webconsoleproxy\app.conf

Nota: Você deve interromper o serviço do Qlik NPrinting web engine antes de alterar qualquer configuração.

Habilitando cabeçalhos XFS

Para habilitar ou desabilitar cabeçalhos XFS, edite a seguinte configuração:

Configuração: xfs.headers.enabled

Opções de valores:

  • true
  • false

Valor padrão: true

Configurando opções do cabeçalho XFS

Para definir opções de cabeçalho XFS específicas, edite a seguinte configuração:

Confiuguração: xfs.headers.option

Opções de valores:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM

Valor padrão: DENY

Permitindo um endereço de URL específico

Você pode indicar uma URL específica permitida para usar respostas dentro de um quadro. Essa definição deve ser configurada quando ALLOW-FROM for usado para xfs.headers.option. Você pode inserir várias URLs inserindo um espaço entre cada uma.

Configuração: xfs.headers.allowed_uri

Exemplo: xfs.headers.allowed_uri=https://domain.com

Valor padrão: undefined

Nota: Você deve reiniciar o serviço Qlik NPrinting web engine para efetivar suas alterações.