ADFS 3의 x-frame-options HTTP 헤더를 어떻게 조작할 수 있습니까?

기본적으로 ADFS 3 응답에는 "X-Frame-Options: DENY" HTTP 헤더가 포함되어 있습니다. 이렇게 하면 ADFS가 iframe에서 실행되지 않습니다. 이는 클릭재킹 공격의 기회를 제공하기 때문입니다.

그러나 현재 우리 회사는 특정 도메인의 페이지와 같은 보안 규칙에 예외를 적용해야 하는 통합을 구현하고 있습니다.~해야 한다iframe에 ADFS를 포함할 수 있습니다.

그러나 ADFS에서는 이러한 기본 설정 변경을 허용하지 않는 것 같습니다. 그렇다면 이 HTTP 헤더를 수정하는 가장 좋은 방법은 무엇입니까?

예를 들어 RFC(https://www.rfc-editor.org/rfc/rfc7034#section-2.3.2.3)?

1. 요청된 콘텐츠를 프레임에 렌더링하려는 페이지는 쿼리 문자열 매개변수를 통해 프레임에 담을 콘텐츠를 제공하는 서버에 자체 원본 정보를 제공합니다.

2. 서버는 호스트 이름이 해당 기준을 충족하는지 확인하여 페이지가 대상 리소스에 의해 프레임화되도록 허용합니다. 예를 들어, 이는 페이지 프레임에 허용된 신뢰할 수 있는 도메인 이름의 화이트리스트 조회를 통해 발생할 수 있습니다. 예를 들어 Facebook의 "좋아요" 버튼의 경우 서버는 제공된 호스트 이름이 해당 "좋아요" 버튼에 대해 예상되는 호스트 이름과 일치하는지 확인할 수 있습니다.

3. 2단계에서 적절한 기준이 충족되면 서버는 "X-Frame-Options: ALLOW-FROM"에 호스트 이름을 반환합니다.

4. 브라우저는 "X-Frame-Options: ALLOW-FROM" 헤더를 적용합니다.