質問:
URL統合がiframeで表示されないのはなぜですか?
iframeの基本事項:
iframeは、別のウェブページを埋め込むためのHTML要素です。
URL統合はDocuWare WebClientの一部です。
別のウェブページにURL統合を埋め込むためには、次の3つの部分が必要です:
- URL統合のアドレス
- ウェブページ内のiframe HTML要素
- 埋め込みの許可: ブラウザは埋め込まれたウェブページの許可情報を必要とします。この許可情報はヘッダーを通じて共有されます。ヘッダーの設定はDocuWareのフロントエンドをホストするサーバーで行われます。
埋め込み許可の付与:
DocuWareとあなたのウェブページのホスト(URL)、ポート、プロトコルが異なる場合は、許可を付与する必要があります。
- DocuWare 6.5からDocuWare 7.10まで > 手順を見る
- DocuWare 7.11以降 > 手順を見る
- 外部プロバイダーのSSOログインを使用する場合
- この場合、ポイント1または2に加えて、外部SSOプロバイダーの許可が必要です。ユーザーの認証をプロバイダーのサーバーにリダイレクトするためです。
許可は、DocuWare\Web\Platformのappsettings.jsonファイル内のCORSポリシーによって付与されます。
この目的のためのJSONファイルの基本構造には、SecuritySettingsというキーが含まれています。
"SecuritySettings": {
"ContentSecurityPolicy": "frame-ancestors 'self'",
"Cors": {
"Enabled": false,
"AllowedOrigins": ""
}
},
https://knowledgecenter.docuware.com/docs/install-docuware-on-premises-version-711#securitysettings
DocuWare 6.5からDocuWare 7.10
DocuWare 6.5から7.10では、X-Frame-Optionsを設定することで許可を付与できます。X-Frame-Optionsを設定することは、埋め込みを可能にするためのアドホックな代替手段として役立ちます。しかし、これによりページがクロスサイト攻撃に対して脆弱になり、セキュリティリスクが発生します。技術的には、DocuWareをURLが異なるページに埋め込むときに、ブラウザはDocuWareのページから埋め込みを防止する指示を受け取ることがなくなります。
- 「C:\Program Files\DocuWare\Web\Platform\Web.config」ファイルをバックアップする
あるいは古いバージョンの場合「C:\Program Files (x86)\DocuWare\Web\Platform\Web.config」 - 「Web.config」ファイルを開く
- 以下のエントリを見つけてください:
<location path="WebClient">
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
</location> - このエントリを削除またはコメントアウトしてください(例のように):
<!--<location path="WebClient">
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
</location> --> - 変更を保存する
- コンポーネントの再起動は不要です!
Web Clientはクロスドメインiframeで表示できるようになります。
DocuWare 6.5を使用している場合は、ホットフィックス21をインストールする必要があります:
https://dwsupport.blob.core.windows.net/supportdownloads/hotfixes/6.5/DW6.5_Hot21.zip
CORSポリシーはさらにセキュリティを提供します。 CORSまたはプロキシサーバーの設定は、あなた自身のサーバー管理者またはITサービスプロバイダーによって行われる必要があります。
DocuWareはあなたのサーバーやネットワークの設定や操作には責任を負いません。DocuWareはサーバーにインストールして利用できるソフトウェアソリューションとしてWeb Clientを提供するのみです。
警告: X-Frame-Options SAMEORIGINを無効にすると、セキュリティの脆弱性が発生します。これにより、攻撃者が他のオリジンからリクエストを送信し、クロスサイトスクリプティングとして悪用される可能性があります。
したがって、我々はSAMEORIGINオプションを保持し、DocuWareがiframeとして埋め込まれているアプリケーションとDocuWare自体が同じサーバーで動作することを強くお勧めします。
最新世代のブラウザは、HTTPSなしのクロスドメイン通信を禁止しています。
したがって、DocuWare 7.4以降、HTTPではDocuWareをiframe内で使用するサポートがなくなりました(Firefoxを除く、またはiframeのドメインがブラウザのドメインと一致している場合)。
DocuWare 7.4の技術変更を見る