Help

Questions & Answers

SOLVED
Jump to solution
ana_oleski
Returning Observer
โ€Ž11-13-2015 02:42 AM

X-Frame-Option sameorigin

Jump to solution

Hallo,

wie kann ich in FS 5.2 mit Internal Jetty den Wert des HTTP response header X-Frame-Option konfigurieren?

Der aktuelle Wert ist SAMEORIGIN und ich hรคtte gerne - fรผr die FS Startseite -

ALLOW-FROM uri

Oder X-Frame-Option ganz deaktivieren. So dass man die Login-Seite als iframe einbetten kann.

Die einzige Antwort, die ich in Jetty Foren gefunden habe, ist ein ServletFilter zu schreiben, der das macht. Gibt es was einfacheres?

GruรŸ,

Ana

Labels
0 Kudos
1 Solution

Accepted Solutions
MichaelaReydt
Community Manager
Community Manager
โ€Ž11-20-2015 03:07 AM

Jump to solution

Halo Ana,

meines Wissens nach ist der vom SecurityFilter gesetzte Wert ab FS 5.2 nicht mehr รคnderbar. Er besitzt nun immer fest den Wert "SAMEORIGIN".

Mir fรคllt daher spontan keine andere Lรถsung ein, als den Filter zu deaktivieren bzw. stattdessen selbst einen Filter zu implementieren - wie du ja selbst bereits vermutet hast. Dabei ist jedoch u. U. zu beachten, dass der Filter auch noch andere Werte setzt (X-XSS-Protection, X-Content-Type-Options).

Viele GrรผรŸe

Michaela



View solution in original post

0 Kudos
2 Replies
MichaelaReydt
Community Manager
Community Manager
โ€Ž11-20-2015 03:07 AM

Jump to solution

Halo Ana,

meines Wissens nach ist der vom SecurityFilter gesetzte Wert ab FS 5.2 nicht mehr รคnderbar. Er besitzt nun immer fest den Wert "SAMEORIGIN".

Mir fรคllt daher spontan keine andere Lรถsung ein, als den Filter zu deaktivieren bzw. stattdessen selbst einen Filter zu implementieren - wie du ja selbst bereits vermutet hast. Dabei ist jedoch u. U. zu beachten, dass der Filter auch noch andere Werte setzt (X-XSS-Protection, X-Content-Type-Options).

Viele GrรผรŸe

Michaela



0 Kudos
ana_oleski
Returning Observer
In response to MichaelaReydt
โ€Ž11-23-2015 01:08 AM

Jump to solution

Danke Michaela!

Ja, es ist so, wie du gesagt hast. Den SecurityFilter setzt das und es ist nicht konfigurierbar. Und wenn ich ihn deaktiviere, funktioniert fsroot gar nicht mehr.

Ich vermute die Lรถsung mit dem eigenen Filter wรผrde funktionieren aber ich habe es nicht mehr ausprobiert. Wir haben es auf der anderen Seite geรคndert - kein iframe mehr.

0 Kudos

Type a product name