For å beskytte mot angrepsforsøk av typen clickjacking, vil det som standard ikke lenger være mulig å embedde websider med metodene iframe, frame, object eller embed. Dette vil gjelde alle nettsider og web-baserte tjenester som serveres med UiOs sentrale lastbalansering. Kun nettsider fra samme (sub)domene vil være tillatt.
Nettskjema og Vortex er oppdatert ihht. denne endringen og vil fortsette å fungere som før.
Dersom en tjenesteeier fortsatt ønsker at websider skal kunne embeddes, må løsningen benytte Content-Security-Policy, og angi i direktivet frame-ancestors hvilke URLer som skal få lov til dette. Det er også mulig å tillate alle ved å angi '*', men dette frarådes, da det i prinsippet deaktiverer generell beskyttelse mot clickjacking.
Beskyttelse mot clickjacking av websider
Publisert 26. juni 2023 13:52
- Sist endret 26. juni 2023 13:52