我们的安全团队对其中一个应用程序进行了审核,他们提出了与ADFS 3.0服务器提出的方法相关的问题。
他们希望我们禁用HTTP方法OPTIONS,TRACE并启用X-XSS-Protection标头。我已经浏览了 ADFS 公开用于配置服务器的不同 powershell 命令。我找不到任何可以控制这些标头的东西。
有没有人遇到过这个问题,如果是这样,你是如何解决的?
我的另一个选择是与网络团队联系,看看他们是否可以向负载均衡器/反向代理添加一些规则。但我不想走那么远,特别是如果我可以在 ADFS 框本身上配置它。
我们已经能够使用反向代理(BIG IP F5(成功实现这一点。
所需的所有反向代理是 SSL 证书和私钥来解密并查看消息 HTTP 动词是否为 OPTIONS/TRACE。
由于安全性的原因,ADFS 上不存在此级别的配置。基本上它是一个黑匣子。
您必须通过代理或LB执行此操作。