Problema amb els iframes quan els dominis són diferents

[anadal-fundaciobit]

Petició de Limit de dia 03/07/2024

Hola,

Hem detectat un problema en mostrar l'estat d'una petició de firma dins d'un iframe de Ripea, degut a que les aplicacions estan desplegades en dominis diferents.

Per solucionar-ho, hem realitzat els següents canvis al fitxer applicationContext-security.xml de Portafib:

Hem eliminat i hem afegit la següent configuració per utilitzar Content Security Policy (CSP), utilitzant el valor de la propietat es.caib.portafib.frame.ancestors, amb un valor per defecte de 'self':

<bean id="propertyConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
<property name="location" value="file:${es.caib.portafib.properties}"/>
</bean>

<sec:http create-session="never" use-expressions="true" auto-config="false" entry-point-ref="preAuthenticatedProcessingFilterEntryPoint">
<sec:headers>
<!-- <sec:frame-options policy="SAMEORIGIN"/> -->
<sec:content-security-policy policy-directives="frame-ancestors ${es.caib.portafib.frame.ancestors:self}"/>
</sec:headers>

Exemple de configuració per permetre la visualització de la URL de seguiment dins del mateix Portafib i dins del domini 'https://*.portsdebalears.com':

es.caib.portafib.frame.ancestors='self' https://*.portsdebalears.com

Podrien considerar aquests canvis per a les pròximes versions?

[anadal-fundaciobit]

Solucionat.