TOTVSTEC

Árvore de páginas

Versões comparadas

Versão antiga 3

changes.mady.by.user Tatiane Vieira Matias

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Tatiane Vieira Matias

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Pode ser Esta opção é usada para evitar ataques de clickjacking, assegurando que o seu conteúdo não seja incorporado em outros sites.

Para isso é necessário indicar se o conteúdo pode ou não ser apresentado em um <frame>, <iframe> ou <object>.

Existem 3 possíveis valores para esta opção:

1) DENY

          Os navegadores sempre irão impedir que a página seja exibida se esta estiver dentro de um frame. 

 

2) SAMEORIGIN

          Se a página estiver dentro de um frame, os navegadores irão impedir que seja exibida somente se a origem de navegação for diferente.

          Por exemplo, se http://origem.com/smartclient.html  estiver configurado com SAMEORIGIN, a página pode ser enquadrada por qualquer página a partir de http://origem.com/.  Caso contrário, o navegador irá impedir que seja exibida.

 

3) ALLOW-FROM uri

          A página só pode ser exibido em um frame sobre a origem especificada.

...

definir o controle de acesso HTTP (CORS) e deve ser informada em formato JSON.

 

Nota

Cross-origin resource sharing (CORS) (ou compartilhamento de recursos de origem cruzada), é a especificação de segurança implementada pelos browsers e que define meios pelo qual um navegador e um servidor web podem interagir para determinar se permiti ou não que seus recursos sejam acessados por uma página web de um domínio diferente.

 

Quando não for definida a opção Config.HTTPHeaders no arquivo smartclient.ini, o Smartclient HTML só será acessado por páginas web do mesmo domínio (default).

Para especificar um domínio diferente, a opção Config.HTTPHeaders deve conter a informação "Access-Control-Allow-Origin".

  • Config.HTTPHeaders = {"Access-Control-Allow-Origin": "*"}, o Smartclient HTML será acessado por páginas web de qualquer domínio.
  • Config.HTTPHeaders = {"Access-Control-Allow-Origin": "http://exemplo.com

...

  • "}, o Smartclient HTML será acessado por páginas web do mesmo domínio e por páginas do domíniohttp://exemplo.com

...

  • .

 

Painel
titleExemplo

Config.FrameOptions=DENYHTTPHeaders = {"Access-Control-Allow-Origin": "*"}

Ouou

Config.FrameOptions=SAMEORIGINHTTPHeaders = {"Access-Control-Allow-Origin": "http://exemplo.com"}

Ouou

Config.FrameOptions=ALLOW-FROM HTTPHeaders = {"Access-Control-Allow-Origin": "http://exemplo.com", "Access-Control-Allow-Methods": "POST, GET, OPTIONS"}


Para mais opções de cabeçalho HTTP, consultar https://www.w3.org/TR/cors/

 

Informações
titleAbrangência

A partir da versão 2.23.1510