ana_oleski
Returning Observer

X-Frame-Option sameorigin

Jump to solution

Hallo,

wie kann ich in FS 5.2 mit Internal Jetty den Wert des HTTP response header X-Frame-Option konfigurieren?

Der aktuelle Wert ist SAMEORIGIN und ich hätte gerne - für die FS Startseite -

ALLOW-FROM uri

Oder X-Frame-Option ganz deaktivieren. So dass man die Login-Seite als iframe einbetten kann.

Die einzige Antwort, die ich in Jetty Foren gefunden habe, ist ein ServletFilter zu schreiben, der das macht. Gibt es was einfacheres?

Gruß,

Ana

0 Kudos
1 Solution

Accepted Solutions
MichaelaReydt
Community Manager

Halo Ana,

meines Wissens nach ist der vom SecurityFilter gesetzte Wert ab FS 5.2 nicht mehr änderbar. Er besitzt nun immer fest den Wert "SAMEORIGIN".

Mir fällt daher spontan keine andere Lösung ein, als den Filter zu deaktivieren bzw. stattdessen selbst einen Filter zu implementieren - wie du ja selbst bereits vermutet hast. Dabei ist jedoch u. U. zu beachten, dass der Filter auch noch andere Werte setzt (X-XSS-Protection, X-Content-Type-Options).

Viele Grüße

Michaela



View solution in original post

0 Kudos
2 Replies
MichaelaReydt
Community Manager

Halo Ana,

meines Wissens nach ist der vom SecurityFilter gesetzte Wert ab FS 5.2 nicht mehr änderbar. Er besitzt nun immer fest den Wert "SAMEORIGIN".

Mir fällt daher spontan keine andere Lösung ein, als den Filter zu deaktivieren bzw. stattdessen selbst einen Filter zu implementieren - wie du ja selbst bereits vermutet hast. Dabei ist jedoch u. U. zu beachten, dass der Filter auch noch andere Werte setzt (X-XSS-Protection, X-Content-Type-Options).

Viele Grüße

Michaela



0 Kudos

Danke Michaela!

Ja, es ist so, wie du gesagt hast. Den SecurityFilter setzt das und es ist nicht konfigurierbar. Und wenn ich ihn deaktiviere, funktioniert fsroot gar nicht mehr.

Ich vermute die Lösung mit dem eigenen Filter würde funktionieren aber ich habe es nicht mehr ausprobiert. Wir haben es auf der anderen Seite geändert - kein iframe mehr.

0 Kudos