Configurações de segurança global - Infor OS Portal

Em um ataque de clickjacking, links que permitem que informações sejam enviadas ao servidor do invasor são disfarçados como links válidos. Um usuário pode, assim, enviar sem saber informações confidenciais para o invasor.

Para evitar o clickjacking, os cabeçalhos de resposta HTTP (Content-Security-Policy: frame-ancestors) são configurados para permitir a incorporação de Dashboards somente nos sites seguros que você listar. Os cabeçalhos são aplicados automaticamente com base em sua seleção.

Os URLs do Infor OS Portal são pré-configurados como sites protegidos.

A permissão para atualizar a lista pode ser restrita a hostings do sistema. A permissão é ativada ao marcar a caixa de seleção Clientes podem adicionar sites protegidos nas configurações de segurança do locatário do sistema. Quando a permissão está ativada, os locatários padrão podem visualizar a lista de sites protegidos, mas não podem editá-la.

Na seção Sites que podem incorporar painéis do Infor EPM na página Configurações de segurança global, é possível selecionar essas opções:

• Qualquer site: Se selecionado, o Dashboards pode ser incorporado e aberto em qualquer site externo sem restrições. Nesse caso, nenhum cabeçalho Content-Security-Policy é enviado.
• Somente sites protegidos: Se selecionado, o Dashboards poderá ser incorporado somente nos sites listados na tabela Sites protegidos. Os sites são incluídos automaticamente nos cabeçalhos de resposta HTTP (Content-Security-Policy: frame-ancestors). Pelo menos um site deve ser listado para ativar essa opção.
• Abrir painéis do Infor EPM somente de sites protegidos: Disponível somente se você tiver selecionado a opção Somente sites protegidos. Se selecionado, um painel só poderá ser aberto se a solicitação vier de um dos sites protegidos e o painel estiver incorporado ao site protegido. O acesso direto a esse painel, especificando um URL em um navegador ou usando um marcador, é bloqueado.