配置 X-Frame-Options
Qlik NPrinting 支持 X-Frame-Options HTTP 响应标头。
X-Frame-Options 标头是防止 Qlik NPrinting web 控制台 和 NewsStand嵌入 <frame> 或 <iframe> 的安全措施。启用 X-Frame-Options HTTP 响应标头防范跨帧脚本攻击 (XFS)、点击劫持和其他形式的攻击。
XFS 标头配置文件
下表示出了基于 X-Frame-Options 设置的不同 XFS 标头限制。
| 配置 | XFS 标头 |
|---|---|
| xfs.headers.enabled=false | 无 |
|
xfs.headers.enabled=true xfs.headers.option=DENY |
X-Frame-Options: DENY Content-Security-Policy: frame-ancestors 'none' |
|
xfs.headers.enabled=true xfs.headers.option=SAMEORIGIN |
X-Frame-Options: SAMEORIGIN Content-Security-Policy: frame-ancestors 'self' |
|
xfs.headers.enabled=true xfs.headers.option=ALLOW-FROM xfs.headers.allowed_url=https://domain.com |
X-Frame-Options: ALLOW-FROM https://domain.com Content-Security-Policy: frame-ancestors domain.com |
配置您的 X-Frame-Options 标头
打开代理文件
要配置 X-Frame-Options,您必须编辑 Qlik NPrinting web 控制台 和 NewsStand 的代理配置文件。这些文件的默认位置为:
- NewsStand 代理配置文件:
- Qlik NPrinting web 控制台 代理配置文件:
%ProgramData%\NPrinting\newsstandproxy\app.conf
%ProgramData%\NPrinting\webconsoleproxy\app.conf
启用 XFS 标题
要启用或禁用 XFS 标头,编辑以下设置:
设置:xfs.headers.enabled
值选项:
- true
- false
默认值:true
设置 XFS 标头选项
要设置特定 XFS 标头选项,可编辑以下设置:
设置:xfs.headers.option
值选项:
- DENY
- SAMEORIGIN
- ALLOW-FROM
默认值DENY
允许特定 URL 地址
您可指明允许在范围内使用响应的特定 URL。当 ALLOW-FROM 用于 xfs.headers.option 时,必须配置该设置。您可通过在每个 URL 之间插入空格来插入多个 URL。
设置:xfs.headers.allowed_uri
示例:xfs.headers.allowed_uri=https://domain.com
默认值:undefined