По умолчанию ответы ADFS 3 содержат HTTP-заголовок "X-Frame-Options: DENY". Это предотвращает запуск ADFS в iframe, поскольку это создает возможность для атак clickjacking.
Однако в настоящее время моя компания реализует интеграцию, в которой необходимо сделать исключение из этого правила безопасности: страницы на определенном доменедолжениметь возможность встраивать ADFS в iframe.
Однако, похоже, что ADFS не позволяет изменять это из коробки. Так какой же наилучший способ изменить этот заголовок HTTP?
Например, как предлагается в RFC (https://www.rfc-editor.org/rfc/rfc7034#section-2.3.2.3)?
Страница, которая хочет отобразить запрошенный контент во фрейме, предоставляет серверу собственную информацию об источнике, предоставляя контент для фрейминга с помощью параметра строки запроса.
Сервер проверяет, что имя хоста соответствует его критериям, так что страница может быть размещена целевым ресурсом. Это может, например, произойти через поиск в белом списке доверенных доменных имен, которым разрешено размещать страницу. Например, для кнопки «Нравится» на Facebook сервер может проверить, соответствует ли предоставленное имя хоста имени хоста, ожидаемому для этой кнопки «Нравится».
Сервер возвращает имя хоста в «X-Frame-Options: ALLOW-FROM», если на шаге № 2 были соблюдены соответствующие критерии.
Браузер применяет заголовок «X-Frame-Options: ALLOW-FROM».
решение1
Используйте веб-сервер как обратный прокси перед ADFS 3 и измените заголовок HTTP. Это можно сделать с помощьюАпачиилиNginx. Тщательно протестируйте это перед тем, как предоставить, так как ADFS 3 может не понравиться наличие прокси. У меня нет способа предоставить Proof of Concept
Это еще один сервер и служба, которую нужно управлять, но я понимаю, что это требование, которое выдолжен встретить
решение2
Microsoft добавила командлет Set-AdfsResponseHeaders: