Configuración de seguridad global: Infor OS Portal

En el panel Configuración de seguridad global, puede crear y mantener una lista de sitios seguros en los que se puede incrustar Dashboards. El propósito es protegerlos contra los ataques de corrección de la interfaz de usuario (secuestro de clics).

En un ataque de secuestro de clics, los vínculos que permiten que la información se envíe al servidor de un atacante se disfrazan como vínculos válidos. Por lo tanto, un usuario puede enviar involuntariamente información confidencial a un atacante.

Para evitar el secuestro de clics, los encabezados de respuesta HTTP (Content-Security-Policy: frame-ancestors) están configurados para permitir que se incruste Dashboards solo en los sitios seguros que figuran en su lista. Los encabezados se aplican automáticamente en función de su selección.

Las URL de Infor OS Portal están preconfiguradas como sitios seguros.

El permiso para mantener la lista se puede restringir a las tenencias del sistema. El permiso se habilita al seleccionar la casilla de verificación Los clientes pueden añadir sitios seguros en la configuración de seguridad de tenencia del sistema. Cuando el permiso está habilitado, las tenencias estándar pueden ver la lista de sitios seguros, pero no pueden editarla.

En la sección Sitios que pueden insertar Infor EPM Dashboards de la página Configuración de seguridad global, puede seleccionar estas opciones:

  • Cualquier sitio: si se selecciona, Dashboards puede incrustarse y abrirse desde cualquier sitio externo sin restricciones. En este caso, no se envían encabezados de Content-Security-Policy.
  • Solo sitios seguros: si se selecciona, Dashboards solo podrá incrustarse en los sitios que figuren en la lista de la tabla Sitios seguros. Los sitios se incluyen automáticamente en los encabezados de respuesta HTTP (Content-Security-Policy: frame-ancestors). Para habilitar esta opción, debe haber al menos un sitio en la lista.
  • Abrir Infor EPM Dashboards solo desde sitios seguros: disponible solo si ha seleccionado la opción Solo sitios seguros. Si se selecciona, solo se podrá abrir un panel si la solicitud procede de uno de los sitios seguros y el panel está incrustado en el sitio seguro. El acceso directo a ese panel especificando una URL en un explorador o utilizando un marcador está bloqueado.