允许将cybozu.com页面嵌入其他的Web网站

由于安全性保护功能,cybozu.com的内容无法嵌入其他Web网站或系统等中。如要嵌入,需先解除保护。

什么是内容的嵌入?

内容的嵌入是指,使用iframe标签或frame标签,在其他Web网站或系统中显示cybozu.com的内容。
例如,可用于如下用途:将通过kintone创建的库存管理应用嵌入您所使用的业务系统中,使得成员可以立即确认库存数量。

将{{%kintone%}}的应用嵌入Web网站的示例

另外,要使用所嵌入的应用,必须先登录cybozu.com。而且,通过IP地址限制等限制对cybozu.com的访问时,该限制仍适用。

安全性风险

但是,若解除保护,安全性方面会产生风险。只要不是必须解除,均推荐保持初始设置,提前启用保护。

解除保护会引发的风险有2项,即点击劫持及跨站请求伪造。

点击劫持

点击劫持是指攻击者恶意使用网页的透明显示等功能,让用户在不知情的情况下,诱使用户点击到其他页面的攻击手段。
因为用户的误操作,导致原本非公开的信息被公开,而成为信息泄露的原因之一。 防御点击劫持的说明图

初始设置(保护启用的状态)中,在服务器的响应报文的头部添加“X-Frame-Options: SAMEORIGIN”。
启用后,将仅允许打开与当前地址栏中相同域的Web网站,而不会在攻击者的站点中打开cybozu.com的网站。

跨站请求伪造

跨站请求伪造(CSRF)是指攻击者于用户在页面中进行表单输入等某些操作时,暗中使用户操作其他页面的攻击手段。
例如,可能会发生通过使用户访问非法网站,让用户无意间在kintone中填写了回复等情况。

已在初始设置(保护启用的状态)中设置为不能经由其他网站对cybozu.com的服务进行操作。以此防止在cybozu.com上进行并非出于用户意愿的操作。

禁用保护后,将能够经由其他网站操作cybozu.com的服务,可能会发生并非出于用户意愿的操作。

设置方法

  1. 在cybozu.com共通管理页面,点击“系统管理”下面的[对外公开]。
  2. 在“对外公开”页面,勾选“嵌入到外部网站”栏中的“允许”复选框。
  3. 点击[保存]。

更改后设置应用的时间各用户不同。将于用户进行下一次操作时,应用新设置。

  • 退出后需重新登录
  • 登录过期后,需重新登录
    初始设置中,有效期是从最后一次访问起的24小时内。

Safari中所需的设置

即便允许嵌入到外部网站,MacOS的Safari在示初始设置时也不会显示所嵌入的cybozu.com的内容。

请在Safari的偏好设置中,禁用阻止跨站跟踪”设置。