デフォルトでは、ADFS 3応答には "X-Frame-Options:DENY" HTTPヘッダーが含まれています。これにより、クリックジャッキング攻撃が発生する可能性があるため、ADFSがiframeで実行されなくなります。
現在、私の会社はこのセキュリティルールに例外を設ける必要のある統合を実装しています。特定のドメインのページはADFSをiframeに埋め込むことができるはずです。
ただし、ADFSでは、これをすぐに変更することはできません。では、このHTTPヘッダーを変更する最良の方法は何でしょうか。
たとえば、RFCで提案されているように( https://tools.ietf.org/html/rfc7034#section-2.3.2. )?
要求されたコンテンツをフレームにレンダリングしたいページは、独自のOrigin情報をサーバーに提供し、クエリ文字列パラメーターを介してフレーム化されるコンテンツを提供します。
サーバーは、ホスト名がその基準を満たしていることを確認し、ページがターゲットリソースによってフレーム化されることを許可します。これは、たとえば、ページのフレーム化が許可されている信頼できるドメイン名のホワイトリストのルックアップを介して発生する可能性があります。たとえば、Facebookの「いいね」ボタンの場合、サーバーは、指定されたホスト名がその「いいね」ボタンに期待されるホスト名と一致することを確認できます。
手順2で適切な条件が満たされた場合、サーバーは「X-Frame-Options:ALLOW-FROM」でホスト名を返します。
- ブラウザは「X-Frame-Options:ALLOW-FROM」ヘッダーを強制します。