- Domino Web服务器是否使用X-Frame-Options标头?
-
- 技术说明(FAQ)
-
- 题
Domino Web服务器是否使用X-Frame-Options标头?
-
- 原因
X-Frame-Options HTTP响应头可用于帮助控制浏览器是否可以在<frame>或<iframe>中呈现页面。管理员可以使用此标头通过确保其内容未嵌入其他网站来帮助避免点击劫持攻击。
来自Domino Web服务器的本机HTTP响应不包括X-Frame-Options标头。
SPR BMKH8MRSPB正在跟踪在Domino Web应用程序中本机包含此功能的增强请求。
-
- 回答
作为一种解决方法,Domino管理员可以利用Internet站点网站标题规则自动将此标头附加到每个http响应
x-frame-options标头支持以下值:
SAMEORIGIN - 仅允许来自同一域的站点构建页面
和
DENY - 阻止任何站点构建页面
注意上面的*号也要配置。
要在规则文档中使用通配符,还必须在notes.ini中包含以下设置
HTTPAllowRedirectWildcards = 1
或者
使用从9.0.1FP6开始的新notes.ini功能
HTTPAdditionalRespHeader = X-Frame - 选项:SAMEORIGIN
有关如何使用服务器notes.ini添加1个自定义http标头的更多详细信息,请参阅SPR MKIN9WMUYH
原文地址:http://www-01.ibm.com/support/docview.wss?uid=swg21568598
web规则(web set rule)配置地址:管理端-配置-消息处理-因特网站点-(选中你需要修改的站点)-打开站点--再选择站点规则-新建规则。
--类型选择(HTTP响应标题)