Doppelter Header „X-Frame-Options: SAMEORIGIN“ in AEMaaCS-Antwort
In Adobe Experience Manager as a Cloud Service (AEMaaCS) - Sites wird die X-Frame-Options: SAMEORIGIN-Kopfzeile in HTTP-Antworten zweimal angezeigt. Dies tritt auf, wenn sowohl AEM als auch die Dispatcher- oder vhost-Konfigurationen unabhängig voneinander denselben -Header festlegen. Um das Problem zu beheben, entfernen Sie die redundante Header-Konfiguration aus dem Dispatcher.
Beschreibung description
Umgebung
Adobe Experience Manager as a Cloud Service (AEMaaCS) - Sites
Problem/Symptome
X-Frame-Options: SAMEORIGIN-Header wird in HTTP-Antwort-Headern zweimal angezeigt.- Sowohl die Dispatcher- als auch die vhost-Konfiguration enthalten
X-Frame-Options: SAMEORIGIN. - AEM legt den -Header standardmäßig fest, auch nachdem er aus der Dispatcher-Konfiguration entfernt wurde.
Ursache
Eine Duplizierung tritt auf, wenn sowohl die AEM- als auch die Dispatcher-/vhost-Einstellungen den -Header unabhängig hinzufügen.
Auflösung resolution
AEMaaCS legt den X-Frame-Options: SAMEORIGIN-Header automatisch über die OSGi-Konfiguration fest (sling.additional.response.headers in org.apache.sling.engine.impl.SlingMainServlet). So verhindern Sie doppelte Kopfzeilen:
- Überprüfen Sie Ihre Dispatcher- oder vhost-Konfigurationen auf
X-Frame-Options: SAMEORIGIN. - Entfernen Sie alle Instanzen, die diesen Header in den Dispatcher- oder vhost-Einstellungen explizit festlegen.
- Legen Sie Sicherheits-Header an nur einer Stelle fest - entweder in AEM oder auf Dispatcher-/CDN-Ebene, nicht beides.