X-Frame-Options для надстроек Outlook Web

Я работаю над надстройкой Outlook Web, и мне трудно понять, какое значение установить для заголовка X-Frame-Options: ALLOW-FROM. Насколько мне известно, пользователи могут получить доступ к Outlook через три разных домена (office.com, office365.com и live.com). Кто-нибудь знает, как я могу узнать, какой сайт делает запрос, чтобы я мог правильно установить заголовок?


x-frame-options outlook-web-addins
person Ryan Robertson    schedule 19.01.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Надстройка должна иметь возможность запускаться в iFrame, чтобы работать в Outlook Web, поэтому заголовок X-Frame-Options вообще не должен быть включен. ALLOW-FROM на самом деле не может использоваться, потому что количество доменов для списка намного превышает 3 упомянутых, и этот список растет - есть много случаев, когда различные пользователи получают доступ к Office365 и outlook.com с помощью пользовательских доменов.

person Outlook Add-ins Team - MSFT    schedule 28.01.2018
comment
Как вы рекомендуете бороться с кликджекингом без установки заголовка X-Frame-Options? Согласно Борьба с кликджекингом с помощью X-Frame-Options, в идеале Outlook должен включать в запрос информацию о происхождении, которую можно проверить до отправки заголовка. - person Ryan Robertson; 29.01.2018
comment
Чтобы обойти это, используйте displayDialogAsync, где X-Frame -Допускаются варианты. - person Outlook Add-ins Team - MSFT; 29.01.2018
comment
Я использую displayDialogAsync для отображения диалогового окна для обработки аутентификации, но как это полезно для начальной загрузки страницы надстройки? - person Ryan Robertson; 29.01.2018
comment
Не могли бы вы разрешить пользователю использовать вашу надстройку до тех пор, пока он не будет аутентифицирован? Итак, если кто-то загружает вас в iframe, ваша надстройка бесполезна, пока они не войдут в систему? Также обратите внимание на этот пост: stackoverflow.com/questions/43667426/ - person Outlook Add-ins Team - MSFT; 30.01.2018
comment
Думаю, я понимаю, что вы предлагаете. Это немного противоречит интуиции - устанавливать только X-Frame-Options на странице входа в систему, но я попробую. - person Ryan Robertson; 31.01.2018
comment
Как использование всплывающего окна для входа в систему защищает от кликджекинга остальную часть надстройки? В связанном ответе вы говорите: если пользователь повторно вводит учетные данные в этот момент, вы можете быть заблокированы. - person Ryan Quinn; 02.02.2018
comment
@ OutlookAdd-insTeam-MSFT, я понимаю предложение о необходимости входа в систему перед включением функций в надстройке, и что моя страница входа может обслуживаться с помощью X-Frame-Options, поскольку она открывается в диалоговом окне. Меня по-прежнему беспокоит отсутствие заголовка X-Frame-Options для надстройки после аутентификации пользователей. Не было бы лучше, если бы Outlook передавал источник / реферер в первоначальном запросе, а затем предоставлял конечную точку, которую мой сервер мог бы использовать для проверки запроса по списку одобренных доменов Outlook? - person Ryan Robertson; 06.02.2018