配置 X-Frame-Options

Qlik NPrinting 支持 X-Frame-Options HTTP 响应标头。

X-Frame-Options 标头是防止 Qlik NPrinting web consoleNewsStand嵌入 <frame> 或 <iframe> 的安全措施。启用 X-Frame-Options HTTP 响应标头防范跨帧脚本攻击 (XFS)、点击劫持和其他形式的攻击。

XFS 标头配置文件

下表示出了基于 X-Frame-Options 设置的不同 XFS 标头限制。

[XFS 标头限制配置文件]
配置 XFS 标头
xfs.headers.enabled=false

xfs.headers.enabled=true

xfs.headers.option=DENY

X-Frame-Options: DENY

Content-Security-Policy: frame-ancestors 'none'

xfs.headers.enabled=true

xfs.headers.option=SAMEORIGIN

X-Frame-Options: SAMEORIGIN

Content-Security-Policy: frame-ancestors 'self'

xfs.headers.enabled=true

xfs.headers.option=ALLOW-FROM

xfs.headers.allowed_uri=https://domain.com

X-Frame-Options: ALLOW-FROM https://domain.com

Content-Security-Policy: frame-ancestors domain.com

配置您的 X-Frame-Options 标头

打开代理文件

要配置 X-Frame-Options,您必须编辑 Qlik NPrinting web consoleNewsStand 的代理配置文件。这些文件的默认位置为:

  • NewsStand 代理配置文件:
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

  • Qlik NPrinting web console 代理配置文件:
  • %ProgramData%\NPrinting\webconsoleproxy\app.conf

备注: 您必须停止 Qlik NPrinting web engine 服务然后才能更改任何配置。

启用 XFS 标题

要启用或禁用 XFS 标头,编辑以下设置:

设置:xfs.headers.enabled

值选项:

  • true
  • false

默认值:true

设置 XFS 标头选项

要设置特定 XFS 标头选项,可编辑以下设置:

设置:xfs.headers.option

值选项:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM

默认值DENY

允许特定 URL 地址

您可指明允许在范围内使用响应的特定 URL。当 ALLOW-FROM 用于 xfs.headers.option 时,必须配置该设置。您可通过在每个 URL 之间插入空格来插入多个 URL。

设置:xfs.headers.allowed_uri

示例:xfs.headers.allowed_uri=https://domain.com

默认值:undefined

备注: 您必须重启 Qlik NPrinting web engine 服务方可让更改生效。