#28134 Konfigurationsoptionen für HttpSecureHeaderFilter

Verbesserung

Wichtig

#28009

Auto-Fit von Tabellen-Spalten

#28039

Development-Version der Professional-Edition ohne Einschränkung von Nutzerzahl und LDAP

#28160

Optische Kennzeichnung von Pflichtfeldern

#28195

Initialisierung von neuen Objekten

#28211

TL-Script: Text-Blocks und Escape-Symbole \n, \r,... unterstützen

#28215

TLScript: split() und join()

Detail

#28029

Berechnete Spalten in Tabellenkomponenten als ID-Spalte setzen

#28130

Verkleinerung der Datums- und Zeit-Eingabefelder und Optimierung des Tabellenlayouts

#28134

Konfigurationsoptionen für HttpSecureHeaderFilter

#28163

Settings-Komponente soll SecurityMaster sein können

#28168

Standardwert für Speichervorschrift-Implementierung: Berechnung über TL-Script

#28186

ModelNamingScheme für transiente Objekte

#28194

Überarbeitung Homepage-Mechanismus

#28201

Migrationsprozessoren: Objekte und Links löschen

#28206

Zeilenselektionsspalte in Tabellen: Klick neben Checkbox verwirft Selektion

#28207

UI-Aktion "SetModel" soll nicht nur genau das Befehlsergebnis als Modell setzen können

#28208

Name fallback bei LDAP Abgleich bei Fehlkonfiguration

Fehlerbehebung

Wichtig

#28084

Unschöner Trenner bei Klassifikationslisten als Radio-Buttons

#28139

Modelleditor vertauscht Kantenenden und Beschriftungen

#28147

Dropdown-Labels brechen um

#28159

Abbrechen von Dialogen funktioniert nicht

Detail

#27702

UML Diagramm eines Fachobjekts verschwindet im Modell Editor

#27786

Doppelte Spalten im Modell-Editor

#27824

Listitems in Tooltips einrücken

#27880

Verwirrende Beschreibung der TL-Script-Funktion copy()

#27881

Suboptimale Prüfung auf isDerived() in der Implementierung des TL-Scripts copy()

#28076

Fehler im Color-Chooser: Inline-Styling und ID-Erzeugung

#28078

Anwendung startet nach "Hilfe in Entwicklungsumgebung übernehmen" nicht mehr

#28092

Kein Mandatory-Symbol bei dynamischer Sichtbarkeit

#28107

Rechtsklick in den Modellbaum führt zu Fehlern

#28111

Fehlender Abstand Icon-Titel in Fehler-Dialog

#28112

Anlegen einer transienten Version eines Objektes mit Sequenzattribut startet Transaktion

#28118

Lange Items vergrößern DropDown's endlos

#28121

Nicht aktive Formularelemente zeigen Fehler und Verhindern das Speichern

#28124

Schlechte Darstellung im Fortschrittsdialog

#28143

Null Pointer Exception beim Anlegen einer Referenz in fremdem Modul

#28146

Core-Theme: Wartungs-Modus-Meldung nicht zu erkennen

#28158

TL-Script: switch über Konstanten lässt sich nicht parsen

#28166

Interner Fehler bei TLScript Aufruf mit überzähligen Parametern

#28169

Fehler beim Zugriff auf ModelChangeEvent ohne Änderung

#28170

Layout-Editor: Sicht bearbeiten nicht möglich nach Einbinden von `woodstox-core`

#28179

Fehlende Werte in transienten Objekten bei überschriebenen Attributen

#28180

Export von Layouts kann Duplikate verursachen

#28185

Fehlender Preload bei Reverse-Inline-Referenz-Attributen

#28198

Transiente Objekte können keinen Container erhalten

#28199

Modellzugriff in Current: Fallback für gelöschte Typen

Kleinigkeit

#28164

Dokumentation der switch-Expression in TL-Script verwirrend

Verbesserung

Detail

#28134

Konfigurationsoptionen für HttpSecureHeaderFilter

MicroFrontend Security

Der HttpSecureHeaderFilter ist standardmäßig eingebunden und setzt HTTP-Header für die Absicherung der Seite gegen z.B. XSS-Angriffe.

Die Standardeinstellungen erlauben aber z.B. nicht ein Micro-Frontend einer Anwendung in einer andere über iframe zu integrieren. Daher sollten die gesetzten Header in der Anwendungskonfiguration einstellbar sein.

Anwendung

Konfigurationsoptionen in application/configs:

<config config:interface="com.top_logic.knowledge.gui.layout.HttpSecureHeaderFilter$GlobalConfig">
	<headers>
		<header name="X-Content-Type-Options" values="nosniff"/>
		<header name="X-XSS-Protection">
			<values>
				<value value="1; mode=block"/>
			</values>
		</header>
		<header name="Strict-Transport-Security">
			<values>
				<value value="max-age=31536000; includeSubDomains"/>
			</values>
		</header>
		<header name="X-Frame-Options" values="SAMEORIGIN"/>
	</headers>
</config>

Test

Inspektion der HTTP-Header einer Seite, die eingestellten Header sollten gesetzt sein.