Impostazioni di protezione globali - Infor OS Portal

Nel pannello di controllo Impostazioni di protezione globale è possibile creare e gestire un elenco di siti protetti in cui è possibile incorporare Dashboards. Lo scopo di questa operazione è garantire la protezione da attacchi di tipo UI redress (clickjacking).

Negli attacchi di tipo clickjacking, collegamenti che attivano l'invio delle informazioni al server di un utente malintenzionato vengono alterati in modo da sembrare collegamenti validi. In questo modo, un utente può inviare involontariamente informazioni riservate a un utente malintenzionato.

Per evitare il clickjacking, le intestazioni di risposta HTTP (Content-Security-Policy: frame-ancestors ) sono configurate per consentire l'incorporamento Dashboards solo nei siti protetti che lei elenca. Le intestazioni vengono applicate automaticamente in base alla propria selezione.

Gli URL di Infor OS Portal sono preconfigurati come siti protetti.

L'autorizzazione per la gestione dell'elenco può essere limitata ai tenant di sistema. L'autorizzazione viene attivata selezionando la casella di controllo I clienti possono aggiungere siti protetti nelle impostazioni di protezione del tenant del sistema. Quando l'autorizzazione è attivata, i tenant standard possono visualizzare l'elenco dei siti protetti, ma non possono modificarlo.

Nella sezione Siti che possono incorporare EPM Dashboards di Infor nella pagina Impostazioni di protezione globali, può selezionare queste opzioni:

  • Qualsiasi sito: Se selezionato, Dashboards può essere incorporato e aperto da qualsiasi sito esterno senza restrizioni. In questo caso, non vengono inviate le intestazioni Content-Security-Policy.
  • Solo siti protetti: Se selezionato, Dashboards può essere incorporato solo nei siti elencati nella tabella Siti protetti. I siti vengono automaticamente inclusi nelle intestazioni della risposta HTTP (Content-Security-Policy: frame-ancestors). Per attivare questa opzione, deve essere elencato almeno un sito.
  • Aprire le EPM Dashboards di Infor solo da siti protetti: Disponibile solo se ha selezionato l'opzione Solo siti protetti. Se selezionato, un pannello di controllo può essere aperto solo se la richiesta proviene da uno dei siti protetti e il pannello di controllo è incorporato nel sito protetto. L'accesso diretto a tale pannello di controllo, specificando un URL in un browser o utilizzando un segnalibro, è bloccato.