Version 4.1.8
Einbettung in <iframe>
Bislang wurde bei allen HTML-Seiten von docs365 documents der HTTP-Header
X-Frame-Options: SAMEORIGIN mitgesendet. Das ist eine Sicherheits-Funktion, um
Clickjacking zu verhindern. Manchmal ist es jedoch
erwünscht, docs365 documents in einem <iframe> einbinden zu können. Damit dies möglich ist,
wurde X-Frame-Options nun standardmäßig deaktiviert, da eine Abwehr gegen Clickjacking in einem
sicheren Intranet ohnehin nicht unbedingt notwendig ist.
Bei öffentlich zugänglichen Documents-Installation kann eine Clickjacking-Abwehr weiterhin sinnvoll
sein. Dafür kann jetzt die Content-Security-Policy frame-ancestors verwenden werden, die
erlaubt, welche Domains die Seite einbetten dürfen. Das geschieht über die neue Option
csp_frame_ancestors in der Sektion [General] der settings.ini.
Nur die Option ‘self’ verbietet Einbettung in allen externen Seiten:
csp_frame_ancestors = 'self'
Das folgende Beispiel erlaubt das Einbetten auf mysite.example.com über HTTPS. 'self' wird
implizit hinzugefügt und muss hier nicht notwendigerweise angegeben werden:
csp_frame_ancestors = https://mysite.example.com
Verschiedenes
Die Erkennungsrate der SmartIndexing-Regeln für Eingangsrechnungen wurde weiter verbessert.