Я работаю над надстройкой Outlook Web, и мне трудно понять, какое значение установить для заголовка X-Frame-Options: ALLOW-FROM
. Насколько мне известно, пользователи могут получить доступ к Outlook через три разных домена (office.com, office365.com и live.com). Кто-нибудь знает, как я могу узнать, какой сайт делает запрос, чтобы я мог правильно установить заголовок?
X-Frame-Options для надстроек Outlook Web
Ответы (1)
Надстройка должна иметь возможность запускаться в iFrame, чтобы работать в Outlook Web, поэтому заголовок X-Frame-Options вообще не должен быть включен. ALLOW-FROM на самом деле не может использоваться, потому что количество доменов для списка намного превышает 3 упомянутых, и этот список растет - есть много случаев, когда различные пользователи получают доступ к Office365 и outlook.com с помощью пользовательских доменов.
person
Outlook Add-ins Team - MSFT
schedule
28.01.2018
Как вы рекомендуете бороться с кликджекингом без установки заголовка X-Frame-Options? Согласно Борьба с кликджекингом с помощью X-Frame-Options, в идеале Outlook должен включать в запрос информацию о происхождении, которую можно проверить до отправки заголовка.
- person Ryan Robertson; 29.01.2018
Чтобы обойти это, используйте displayDialogAsync, где X-Frame -Допускаются варианты.
- person Outlook Add-ins Team - MSFT; 29.01.2018
Я использую
displayDialogAsync
для отображения диалогового окна для обработки аутентификации, но как это полезно для начальной загрузки страницы надстройки?
- person Ryan Robertson; 29.01.2018
Не могли бы вы разрешить пользователю использовать вашу надстройку до тех пор, пока он не будет аутентифицирован? Итак, если кто-то загружает вас в iframe, ваша надстройка бесполезна, пока они не войдут в систему? Также обратите внимание на этот пост: stackoverflow.com/questions/43667426/
- person Outlook Add-ins Team - MSFT; 30.01.2018
Думаю, я понимаю, что вы предлагаете. Это немного противоречит интуиции - устанавливать только
X-Frame-Options
на странице входа в систему, но я попробую.
- person Ryan Robertson; 31.01.2018
Как использование всплывающего окна для входа в систему защищает от кликджекинга остальную часть надстройки? В связанном ответе вы говорите: если пользователь повторно вводит учетные данные в этот момент, вы можете быть заблокированы.
- person Ryan Quinn; 02.02.2018
@ OutlookAdd-insTeam-MSFT, я понимаю предложение о необходимости входа в систему перед включением функций в надстройке, и что моя страница входа может обслуживаться с помощью
X-Frame-Options
, поскольку она открывается в диалоговом окне. Меня по-прежнему беспокоит отсутствие заголовка X-Frame-Options
для надстройки после аутентификации пользователей. Не было бы лучше, если бы Outlook передавал источник / реферер в первоначальном запросе, а затем предоставлял конечную точку, которую мой сервер мог бы использовать для проверки запроса по списку одобренных доменов Outlook?
- person Ryan Robertson; 06.02.2018