允許在 iFrames 中有內嵌混搭
 |
為了加強 ThingWorx 客戶的安全狀況,在 ThingWorx Platform 9.3.15、9.4.5 和 9.5.1 版中引入了對內容安全性原則 (CSP) 的支援。啟用後,CSP 將取代目前用於防止點擊劫持的方法,如下所述。如需詳細資訊,請參閱內容安全性原則。
|
點擊劫持是一種攻擊者使用框架顯示合法網站並用一或多個不可見圖層將其覆蓋的技術。此方法會誘使使用者按一下隱藏圖層中的元素。為了防範點擊劫持,伺服器會使用回應標題來指示瀏覽器是否可以對頁面進行框架處理。
由於瀏覽器法規遵循方面的差異,ThingWorx 使用兩個不同的標題來指定允許哪些網域以框架方式顯示其內容。這些標題可讓管理員:
• 封鎖所有框架。
• 僅允許來自同一源頭的框架。
• 允許來自特定網域的框架。
標題描述
用來對抗點擊劫持的標題如下:
• X-Frame-Options
◦ DENY - 無論嘗試顯示頁面的網站為何,都不能在框架中顯示頁面。
◦ SAMEORIGIN - 只能在與頁面相同源頭的框架中顯示頁面。
◦ ALLOW-FROM http://example.com - 只能在位於指定源頭的框架中顯示頁面。
如需支援 X-Frame-Options 的瀏覽器清單,請參閱 https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Limitations。
• Content-Security-Policy
◦ frame-ancestors 'none' - 防止在來自任何源頭的框架中載入資源。
◦ frame-ancestors 'self' - 允許在框架中載入資源,但框架只能來自相同源頭。
◦ frame-ancestors domain1.com domain2.com - 允許在框架中載入資源,但框架只能來自指定清單中的網域。
如需支援內容安全性原則層級 2 之瀏覽器的清單,請參閱 http://caniuse.com/#feat=contentsecuritypolicy2。
ThingWorx 組態
|
|
如需有關 HTTP 及其相關技術的詳細資訊,請參閱 HTTP 開發人員指南。
|
ThingWorx 透過使用 HTTP 請求篩選器同時支援兩個標題。管理員經由在 ThingWorx 應用程式的 web.xml 檔案中將三個篩選器對應的其中一個取消註解,即可啟用或禁用以下三個篩選器的其中一個:ClickjackFilterDeny、ClickjackFilterSameOrigin 和 ClickjackFilterAllowList。
例如:
<!-- use the Deny version to exclude all framing -->
<!--
<filter-mapping>
<filter-name>ClickjackFilterDeny</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
-->
<!-- use the SameOrigin version to allow your application to frame, but nobody else -->
<!--
<filter-mapping>
<filter-name>ClickjackFilterSameOrigin</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
-->
<!-- use the AllowList version to allow framing from specified domains -->
<filter-mapping>
<filter-name>ClickjackFilterAllowList</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
ClickjackFilterDeny 或 ClickjackFilterSameOrigin 不需要任何其他組態。若管理員選擇使用 ClickjackFilterAllowList,則必須在篩選器 "domains" 參數值中新增接受的網域。
例如:
<filter>
<filter-name>ClickjackFilterAllowList</filter-name>
<filter-class>com.thingworx.security.filter.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>ALLOWLIST</param-value>
</init-param>
<init-param>
<param-name>domains</param-name>
<param-value>http://media-pc:8080
http://192.168.152.133:8080 http://domainY.com</param-value>
</init-param>
</filter>
指定網域必須使用所示格式,即包括配置 (HTTP) 的一份以空格分隔的清單。如上所示的網域清單將可與所有瀏覽器搭配運作。
[SSO 所需] 客戶應用程式修改
欲在 iFrame 中開啟混搭,您必須變更進入點 URL。
指向「混搭」的 ThingWorx 進入點目前使用下列其中一種格式:
• https://<thingworx 伺服器名稱>/Thingworx/Runtime/index.html?mashup=<主混搭名稱>
• https://<thingworx 伺服器名稱>/Thingworx/Thingworx/Mashups/<主混搭名稱>
欲在 iFrame 中開啟混搭,您必須如下變更進入點格式:
https://<thingworx 伺服器名稱>/Thingworx/Runtime/iframe-index.html?mashup=<主混搭名稱>
|
|
如果您需要將某些參數傳遞至開啟的混搭,可以將其新增至 URL。
|
|
|
不允許 POST 方法。您必須使用 GET 方法。
|
如果您要使用自訂進入點而非混搭,您必須將其新增為 __entry_point__ URL 參數。例如 https://<thingworx 伺服器名稱>/Thingworx/Runtime/iframe-index.html? __entry_point__=/Thingworx/Common/extensions/My-extension/ui/My-entry-point.html
|
|
如果您在 SSO 與非 SSO 模式之間轉換,此變更也適用於非 SSO 模式。
|
啟動 iFrame 時,系統會在快顯視窗中提示使用者 SSO 登入。視窗會在成功登入之後關閉,且混搭會載入至 iFrame。
登入流程期間,系統可能會提示使用者允許使用 cookie 與/或快顯,視瀏覽器而定)。如需詳細資訊,請參閱下圖:
|
|
如果主要與 iFrame 應用程式屬於不同的網站,Chrome 瀏覽器不允許存取 iFrame 應用程式的 cookie。例如 *.ptc.com 和 *.google.com。解決方案是針對 iFrame (Thingworx) 應用程式新增 SameSite=None cookie 內容。如需更多詳細資訊,請參閱 https://www.ptc.com/support/article/CS318637。
|