...
Molti amministratori di sistema impostano alcune protezioni di sicurezza all’interno della pagine che costituiscono la loro web-application o CRM con l’intento che le loro pagine web non possano essere utilizzate da altre applicazioni e caricati in elementi come frames/iframes al fine di essere servite da pagine provenienti da altri domini non autorizzati. Questa tecnica solitamente è denominata "framesniffing".
A titolo di esempio viene riportata una configurazione relativa ad IIS per la abilitazione del'header "X-Frame-Options" e consentire il caricamento della propria web-app in un Widget di AgentDesktop:
| Code Block | ||
|---|---|---|
| ||
<configuration><system.webServer><httpProtocol><customHeaders><add<configuration> <system.webServer> <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="ALLOW-FROM url_del_ContaCT" /></customHeaders></httpProtocol><> </customHeaders> </httpProtocol> </system.webServer><webServer> </configuration> |
Le altre due opzioni di configurazione possono essere: SAMEORIGIN o DENY.
...
| Code Block | ||
|---|---|---|
| ||
<script type="text/javascript"> if (top.frames.length !== 0) { top.location=self.document.location; } </script> |
In questo caso, si dovrà modificare il codice per permettere l'inclusione in un iframe se la finestra padre della propria web-app appartiene al domino applicativo di Contact7.