iFrame の埋め込みマッシュアップの許可
 |
ThingWorx のお客様のセキュリティ体制を強化するため、ThingWorx Platform バージョン 9.3.15、9.4.5、および 9.5.1 にコンテンツセキュリティポリシー (CSP) のサポートが導入されました。CSP を有効にすると、以下に説明するように、クリックジャッキングを防止するために使用されている現在の方法が CSP に置き換えられます。詳細については、コンテンツセキュリティポリシーを参照してください。
|
クリックジャッキングは、攻撃者がフレームを使用して正当なサイトを表示し、それを 1 つ以上の見えないレイヤーでオーバーレイする手法です。そのため、ユーザーは気付かずにその見えないレイヤーにあるエレメントをクリックしてしまいます。クリックジャッキングを防止するために、サーバーは応答ヘッダーを使用して、ページをフレーム表示できるかどうかをブラウザに指示します。
ブラウザのコンプライアンスの違いにより、ThingWorx は 2 つの異なるヘッダーを使用して、そのコンテンツをフレーム表示できるドメインを指定します。これらのヘッダーにより、管理者は次の操作を実行できます。
• すべてのフレーム表示をブロックする。
• 同じドメインからのフレーム表示のみを許可する。
• 特定のドメインからのフレーム表示を許可する。
ヘッダーの説明
クリックジャッキングに対処するために使用するヘッダーは次のとおりです。
• X-Frame-Options
◦ DENY - サイトがページをフレームに表示しようとしても関係なく、ページはフレームに表示されません。
◦ SAMEORIGIN - フレームのドメインがページのドメインと同じである場合にかぎり、ページはフレームに表示されます。
◦ ALLOW-FROM http://example.com - フレームのドメインが指定されているドメインである場合にかぎり、ページはフレームに表示されます。
X-Frame-Options をサポートするブラウザのリストについては、https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Limitations を参照してください。
• Content-Security-Policy
◦ frame-ancestors ‘none’ - ドメインに関係なく、フレームにリソースがロードされるのを禁止します。
◦ frame-ancestors ‘self’ - ドメインが同じである場合にかぎり、フレームにリソースがロードされるのを許可します。
◦ frame-ancestors domain1.com domain2.com - フレームのドメインが指定されたリストに含まれる場合にかぎり、フレームにリソースがロードされるのを許可します。
コンテンツのセキュリティポリシーレベル 2 をサポートするブラウザのリストは、http://caniuse.com/#feat=contentsecuritypolicy2 を参照してください。
ThingWorx のコンフィギュレーション
|
|
HTTP とその関連テクノロジの詳細については、HTTP 開発者向けガイドを参照してください。
|
ThingWorx は HTTP リクエストフィルタの使用によって両方のヘッダーをサポートします。管理者は、ClickjackFilterDeny、ClickjackFilterSameOrigin、および ClickjackFilterAllowList の 3 つのフィルタのいずれかを有効または無効にできます。これを行うには、ThingWorx アプリケーションの web.xml ファイル内にある 3 つのフィルタマッピングのいずれかをコメント解除します。
例:
<!-- use the Deny version to exclude all framing -->
<!--
<filter-mapping>
<filter-name>ClickjackFilterDeny</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
-->
<!-- use the SameOrigin version to allow your application to frame, but nobody else -->
<!--
<filter-mapping>
<filter-name>ClickjackFilterSameOrigin</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
-->
<!-- use the AllowList version to allow framing from specified domains -->
<filter-mapping>
<filter-name>ClickjackFilterAllowList</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
ClickjackFilterDeny または ClickjackFilterSameOrigin の設定を変更する必要はありません。管理者が ClickjackFilterAllowList を使用することにした場合は、許可するドメインをフィルタの "domains" パラメータ値に追加する必要があります。
例:
<filter>
<filter-name>ClickjackFilterAllowList</filter-name>
<filter-class>com.thingworx.security.filter.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>ALLOWLIST</param-value>
</init-param>
<init-param>
<param-name>domains</param-name>
<param-value>http://media-pc:8080
http://192.168.152.133:8080 http://domainY.com</param-value>
</init-param>
</filter>
指定するドメインは、スキーム (HTTP) を含んでいるスペース区切りリストのフォーマットである必要があります。上記のドメインリストは、すべてのブラウザに使用できます。
[SSO で必須] 顧客アプリケーションの修正
iFrame でマッシュアップを開くには、エントリポイントの URL を変更する必要があります。
マッシュアップを指す ThingWorx エントリポイントは、現在、次のいずれかのフォーマットを使用しています。
• https://<ThingWorx サーバー名>/Thingworx/Runtime/index.html?mashup=<メインマッシュアップ名>
• https://<ThingWorx サーバー名>/Thingworx/Thingworx/Mashups/<メインマッシュアップ名>
iFrame でマッシュアップを開くには、エントリポイントのフォーマットを次のように変更する必要があります。
https://<ThingWorx サーバー名>/Thingworx/Runtime/iframe-index.html?mashup=<メインマッシュアップ名>
|
|
開いているマッシュアップに一部のパラメータを渡す必要がある場合、これらを URL に追加できます。
|
|
|
POST メソッドは使用できません。GET メソッドを使用する必要があります。
|
マッシュアップの代わりにカスタムエントリポイントを使用する場合、これを URL パラメータ __entry_point__ として追加する必要があります。例: https://<ThingWorx サーバー名>/Thingworx/Runtime/iframe-index.html? __entry_point__=/Thingworx/Common/extensions/My-extension/ui/My-entry-point.html
|
|
SSO モードと非 SSO モードの間で切り替えた場合、この変更は非 SSO モードにも適用されます。
|
iFrame がアクティブ化すると、ポップアップウィンドウで SSO ログインが要求されます。ログインに成功するとウィンドウが閉じ、マッシュアップが iFrame にロードされます。
ブラウザによっては、ログインプロセス中に、cookie やポップアップの使用を許可するよう求められる場合があります。詳細については、以下のイメージを参照してください。
|
|
プライマリアプリケーションと iFrame アプリケーションが異なるサイトに属している場合、Chrome ブラウザは iFrame アプリケーションに対して cookie へのアクセスを許可しません。たとえば、*.ptc.com と *.google.com などです。解決策としては、iFrame (Thingworx) アプリケーションに cookie プロパティ SameSite=None を追加します。詳細については、https://www.ptc.com/support/article/CS318637 を参照してください。
|