IBM Support

Domino Web サーバーで X-Frame-Options など任意のカスタムヘッダーをつける方法

技術情報(FAQs)


質問

HTTP レスポンスヘッダーの X-Frame-Options は、ブラウザがページを <frame> もしくは <iframe> 内部に表示することを許可するかどうかを制御するために利用されます。管理者は、自分のサイトのコンテンツが他のサイトに埋め込まれないと保証することで、クリックジャック攻撃を防止するためにこのヘッダーを利用します。

セキュリティを強化するため、Domino Web サーバーからの HTTP レスポンスに X-Frame-Options やその他任意のヘッダーを追加する方法はありますか。


原因

Domino Web サーバーからの HTTP レスポンスには元々 X-Frame-Options ヘッダーはついていません。
Domino Web アプリケーションでもこのヘッダーの追加を求める機能改善要望が、問題報告番号 BMKH8MRSPB として報告されました。


回答

インターネットサイトを有効にしている Domino Web サーバーの場合は、Web サイトルールを利用して、任意のヘッダーを HTTP レスポンスに追加することができます。

インターネットサイトを利用していないサーバーの場合は、IBM Domino 9.0.1 FP6 から、新しい NOTES.INI パラメータ、 HTTPAdditionalRespHeader が利用可能です。

■Web サイトルールを利用する方法
Web サイト文書を利用する場合は、Domino HTTP サーバーはサーバー文書の [インターネットプロトコル] の設定ではなく、Web サイト文書の設定情報を取得します。
Web サイト文書を利用しない場合、Domino HTTP サーバーはサーバー文書の [インターネットプロトコル] の設定情報を取得します。

Web サイト文書を利用して HTTP が起動した場合、HTTP プロセス起動時に以下のように表示されます。

HTTP Server: Using Internet Site Configuration View

サーバー文書を利用して HTTP が起動した場合、HTTP プロセス起動時に以下のように表示されます。

HTTP Server: Using Web Configuration View

Web サイトルールを利用する場合は、Web サイト文書を利用して HTTP を起動する必要があります。

手順:
1. サーバー文書の [基本タブ]-[「サーバー - インターネットサイト」の文書からインターネット設定を読み込む] を「有効」にします。
2. Domino Administrator クライアントの [設定]タブ - [Web] -[インターネットサイト] を開き、[インターネットサイトの追加] - [Web] をクリックします。
3. Web サイト文書を作成し、保存します。
4. 作成した Web サイト文書を開き、[Web サイト] - [ルールの作成] をクリックします。
5. [ルールの種類] に「HTTP 応答ヘッダー」を選択します。
6. [受け取る URL パターン] に任意の URL を指定します。ワイルドカードの利用が可能です。
7. カスタムヘッダーに、任意のヘッダーの名前、値、を指定して保存します。

※[「サーバー - インターネットサイト」の文書からインターネット設定を読み込む] の有効/無効を切り替えた場合は、HTTP プロセスの再起動をしてください。

Web サイトルール文書で指定できるカスタムヘッダーは最大3つです。

■ HTTPAdditionalRespHeader パラメータを利用する方法
IBM Domino 9.0.1 FP6 から、新しい NOTES.INI パラメータ「 HTTPAdditionalRespHeader 」が利用可能になりました。

HTTPAdditionalRespHeader パラメータを利用して追加できるカスタムヘッダーは、1 つです。
このパラメータを利用する場合は、全ての HTTP レスポンスヘッダーにカスタムヘッダーが追加されます。

HTTP レスポンスヘッダーとして、「X-Frame-Options: SAMEORIGIN」をつける場合は以下のように指定します。

HTTPAdditionalRespHeader=X-Frame-Options: SAMEORIGIN

以下の2つのコマンドを Domino サーバーのコンソールで実行することにより Domino 起動中に設定を行うことができます。

set config HTTPAdditionalRespHeader=X-Frame-Options: SAMEORIGIN
tell http restart

複数の任意の HTTP ヘッダーを追加する場合や、URL パターンに応じたカスタムヘッダーを追加する場合は、Web サイトルール文書を使用してください。

Document information

More support for: IBM Domino
Web Server

Software version: 9.0.1

Operating system(s): AIX, IBM i, Linux, Solaris, Windows, z/OS

Reference #: 2000292

Modified date: 30 June 2017


Translate this page: