拒绝在帧中显示/ancestor违反了

Question

我们在网络跟踪中看到了以下内容。

成员文档:1拒绝在帧中显示“https://yyy.xxxx.org/”，因为它将“X-框架-选项”设置为“相同来源”。

拒绝帧'https://yyyy.xxxx.org/‘，因为一个祖先违反了以下内容安全策略指令：“框架祖先'self’https://*.xxxx.org"。

拒绝在帧中使用“https://yyyy.xxxx.org/”，因为它将“X-框架选项”设置为“相同来源”。

我们还有一个SSO框架/pingfederate来保护我们的内容。运行时应用程序的响应头配置设置为：

SAMEORIGIN --> --> name="exclude-patterns"> _/idp/startSLO.ping;_/sp/startSLO.ping;_/idp/SLO.saml2;_/sp/SLO.saml2;_/idp/SLO.ping;_/sp/SLO.ping;_/idp/prp.wsf;_/sp/prp.wsf;_/idp/prp.ping;_/sp/prp.ping </con:item> </con:map> --> <con:map name="Content-Security-Policy"> <con:item name="value">script-src 'unsafe-inline' 'unsafe-eval' 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; object-src 'self'; frame-ancestors 'self' https://_.xxxx.org;</con:item> <con:item name="include-patterns">_</con:item> </con:map>

一个人如何去修复它。

Answer 1

首先，在应用程序中嵌入外部登录页面的理由相对较少，特别是在不同的域中。这样做没有安全“好处”，也没有很多安全“缺点”。我建议你去评估为什么你想嵌入它，然后研究为什么你不应该(最大的原因将存在于OWASP前10)。

第二，如果您不管理身份提供程序，那么就不应该尝试将页面嵌入到不同的域中。他们设置这些值是有原因的。在什么世界里，尝试做一些你的伴侣管理他们的身份的明确禁止的事情是很酷的？也许你应该问他们是否允许你嵌入页面？

最后，如果您的身份提供者同意允许您将登录页面嵌入到第二个域中，那么在PingFederate中有几种方法可以实现这一点，并使用基于PingFederate版本的不同方法。它可以通过编辑PingFederate生成的标题来实现，也可以是PingFederate中的虚拟主机选项设置等。如果需要帮助，PingFederate管理员可以联系Ping。

Answer 2

为同一域运行反向代理并在代理级别修改x框架选项标头.并将代理URL附加到您的iFame节点js实现可以使用https://www.npmjs.com/package/http-proxy实现您还可以使用简单的nginx。

考虑：https://xxxx.org/是您的主域(通过节点提供服务)，https://yyy.org/是您试图在iFrame (外部域)中加载的域。

步骤：

https://yyy.org/paterny1/resource1.

• No

1. 观察所有(包括静态和ajax资源) https://yyy.org/中的url模式(例如/paterny2 1/、/paterny2 2/)，
2. 为节点js
3. 附加/paterny2 1/resources 1中的所有URL模式实现反向代理，而不是
4. 1需要更改代理级别的任何标头，因为对于客户机浏览器来说，它们都是主服务器，而iFrame是从同一域服务的。