默认情况下,ADFS 3 响应包含“X-Frame-Options: DENY”HTTP 标头。这可防止 ADFS 在 iframe 中运行,因为这为点击劫持攻击提供了机会。
目前,我的公司正在实施一项集成,其中应对此安全规则做出例外:特定域上的页面应该能够将 ADFS 嵌入 iframe。
但 ADFS 似乎不允许立即更改此设置。那么修改此 HTTP 标头的最佳方法是什么?
例如,正如 RFC 中所建议的(https://www.rfc-editor.org/rfc/rfc7034#section-2.3.2.3)?
想要在框架中呈现请求内容的页面会将其自己的来源信息提供给通过查询字符串参数提供要框架的内容的服务器。
服务器验证主机名是否符合其标准,以便允许目标资源框架页面。例如,这可以通过查找允许框架页面的受信任域名白名单来实现。例如,对于 Facebook“赞”按钮,服务器可以检查提供的主机名是否与该“赞”按钮所需的主机名相匹配。
如果在步骤 2 中满足正确的条件,服务器将在“X-Frame-Options: ALLOW-FROM”中返回主机名。
浏览器强制执行“X-Frame-Options:ALLOW-FROM”标头。
答案1
答案2
Microsoft 已添加 Set-AdfsResponseHeaders cmdlet: