Cài đặt bảo mật toàn cầu - Infor Ming.le

Trong một cuộc tấn công clickjacking, các liên kết cho phép thông tin được gửi tới một máy chủ của kẻ tấn công khác với liên kết hợp lệ. Người dùng do vậy có thể vô tình gửi các thông tin nhạy cảm cho kẻ tấn công.

Để ngăn chặn clickjacking, tiêu đề phản hồi HTTP (Content-Security-Policy: frame-ancestors) được cấu hình để chỉ cho phép nhúng Dashboards vào các trang web an toàn do bạn liệt kê. Tiêu đề sẽ được áp dụng tự động dựa trên lựa chọn của bạn.

URL của Homepages được đặt cấu hình sẵn là các trang an toàn.

Quyền duy trì danh sách có thể hạn chế cho các đối tượng thuê hệ thống. Quyền này được bật bằng cách chọn hộp kiểm Khách hàng có thể thêm trang an toàn trong cài đặt bảo mật của đối tượng thuê hệ thống. Khi quyền được bật, đối tượng thuê tiêu chuẩn có thể xem danh sách các trang an toàn nhưng không thể sửa.

Trong phần Các trang web có thể nhúng Infor EPM Dashboards trên trang Cài đặt bảo mật toàn cầu, bạn có thể chọn các tùy chọn sau:

• Bất kỳ trang nào: Nếu chọn, có thể nhúng Dashboards vào và mở từ bất kỳ trang web bên ngoài nào mà không có hạn chế nào. Trong trường hợp này, không có tiêu đề Content-Security-Policy nào được gửi đi.
• Chỉ các trang an toàn: Nếu chọn, chỉ có thể nhúng Dashboards vào các trang web được liệt kê trong bảng Trang an toàn. Các trang web được tự động đưa vào tiêu đề phản hồi HTTP (Content-Security-Policy: frame-ancestors). Phải liệt kê ít nhất một trang web để bật tùy chọn này.
• Chỉ mở Infor EPM Dashboards từ các trang an toàn: Chỉ khả dụng nếu bạn chọn tùy chọn Chỉ trang an toàn. Nếu được chọn, bảng điều khiển chỉ có thể được mở nếu yêu cầu đến từ một trong các trang an toàn và bảng điều khiển được nhúng trong trang an toàn. Quyền truy cập trực tiếp vào bảng điều khiển đó bằng cách chỉ định URL trong trình duyệt hoặc sử dụng dấu trang sẽ bị chặn.