"x-frame-options：deny"ヘッダーをグローバルに追加するものは何ですか？

Question

Win 2k3 R2でColdFusion 10とIIS 7.5を使用するクライアントがあります。 ColdFusion管理者はフレームを使用します。

このコンテンツはフレーム内に表示することはできません

保護するために：私はCFの管理者にログインすると、私はこの私に伝えるメッセージを見ていChromeのとIEで空白の画面を見ていますこのウェブサイトに入力した情報のセキュリティは、このコンテンツの発行者はそれをフレームに表示することを許可していません。

IはクロムDEVコンソールでこのメッセージ（フレームごとに1）のいくつかを参照してください。それはX-フレーム・オプション」に設定するので

フレームで「http://localhost/CFIDE/Administrator/navserver.cfm」を表示することを拒否「DENY」へ。

Chromeのレスポンスヘッダーを見ると、これはDENYに設定されていることがわかります。

どこから来ているのかわかりません。このサーバー上のすべてのサイトがこのヘッダーを出力しています。私はこのヘッダを出力するために何も明示的に設定していません。私はCFが独自の管理インターフェースを壊すので、パッチでそれをしていないことを知っています。

IISのルートサーバー全体の構成HTTP応答ヘッダーには、X-Frame-Optionsが設定されておらず、設定済みのWebサイトもありません。

Xフレームオプションヘッダーを明示的に追加してsameoriginに設定すると、の両方のヘッダー（denyとsameorigin）が表示されます。

クライアントのセキュリティチームがこのヘッダーを挿入するソフトウェアがインストールされている可能性はありますか？

localhost上のサイトにアクセスしているため、問題の原因となっているネットワークデバイスであるとは想像もしません。それはサーバー自体の上になければなりません、そうですか？

アイデア？

Answer 1

これは、ロックされていると仮定してColdFusion内で設定できます。 clickjackのルールについては、 （instancename）/wwwroot/WEB-INF/web.xmlを参照してください。

<filter-mapping> 
    <filter-name>CFClickJackFilterDeny</filter-name> 
    <url-pattern>/*</url-pattern> 
</filter-mapping> 

もう一つの方法は、これはストレートHTMLページとフレームのサンプルを設定することですIISによって引き起こされているかどうかをテストするには、それが動作するかどうかのブロックは、ColdFusionのレベルである。このようになります。ストレートHTMLが動作しない場合は、IISや他のサーバーの場所で起きています。

IISでは、HTTP応答ヘッダーをサーバー全体（すべてのサイトに影響を与える）および/またはサイト全体（現在のサイトのみに影響を与える）に設定できます。

あなたの質問をもう一度読んで、私はあなたを助けなかったかもしれません。がんばろう。