For ? beskytte mot angrepsfors?k av typen clickjacking, vil det som standard ikke lenger v?re mulig ? embedde websider med metodene iframe, frame, object eller embed. Dette vil gjelde alle nettsider og web-baserte tjenester som serveres med UiOs sentrale lastbalansering. Kun nettsider fra samme (sub)domene vil v?re tillatt.
Nettskjema og Vortex er oppdatert ihht. denne endringen og vil fortsette ? fungere som f?r.
Dersom en tjenesteeier fortsatt ?nsker at websider skal kunne embeddes, m? l?sningen benytte Content-Security-Policy, og angi i direktivet frame-ancestors hvilke URLer som skal f? lov til dette. Det er ogs? mulig ? tillate alle ved ? angi '*', men dette frar?des, da det i prinsippet deaktiverer generell beskyttelse mot clickjacking.
Beskyttelse mot clickjacking av websider
Publisert 26. juni 2023 13:52
- Sist endret 26. juni 2023 13:52