全局安全设置 - Infor OS Portal

在点击劫持攻击中，链接被伪装成有效链接，而这些链接可将信息发送到攻击者的服务器。因此，用户可能不知不觉地向攻击者提交敏感信息。

为了防止点击劫持，系统会配置 HTTP 响应标题（Content-Security-Policy: frame-ancestors），使得 Dashboards 仅允许在您列出的安全站点中被嵌入。这些标题会根据您的选择自动生效。

Infor OS Portal URL 已预配置为安全站点。

可限制仅系统租户具有列表维护权限。在系统租户的安全设置中选择“客户可添加安全站点”复选框，即可启用该权限。启用该权限后，标准租户可以查看安全站点列表，但无法进行编辑。

在“全局安全设置”页面的“可以嵌入 Infor EPM Dashboards 的站点”部分，您可以选择以下选项：

• 任何站点如果选中此项，Dashboards 可嵌入任何外部站点并从中打开，不受任何限制。在这种情况下，不会发送任何 Content-Security-Policy 标题。
• 仅限安全站点如果选中此项，Dashboards 只能嵌入“安全站点”表中列出的站点。这些站点会自动包含在 HTTP 响应标题（Content-Security-Policy: frame-ancestors）中。要启用此选项，必须至少列出一个站点。
• 也可选择“仅从安全站点打开 Infor EPM Dashboards”。仅当选中“仅限安全站点”选项时才可用。如果选中此项，仅当请求来自安全站点且仪表板已嵌入该安全站点时，才能打开仪表板。禁止通过直接在浏览器中输入 URL 或使用书签访问该仪表板。