Nossa equipe de segurança fez uma auditoria em um dos aplicativos e levantou preocupações relacionadas aos métodos levantados pelo servidor ADFS 3.0.
Eles querem que desabilitemos os métodos HTTP OPÇÕES, TRACE e habilitar Proteção X-XSS cabeçalho. Passei pelos diferentes comandos do powershell que o ADFS expõe para configurar o servidor. Não consegui encontrar nada usando o qual eu possa controlar esses cabeçalhos.
Alguém se deparou com isso? Se sim, como você resolveu isso?
A outra opção que tenho é verificar com oEquipe de rede e veja se eles podem adicionar algumas regras ao Load Balancer / Proxy Reverso. Mas não quero ir tão longe, principalmente se eu puder configurá-lo na própria caixa do ADFS.
Respostas:
0 para resposta № 1Esse nível de configuração no ADFS não existe por causa da segurança. Basicamente, é uma caixa preta.
Você precisaria fazer isso via proxy ou LB.
0 para resposta № 2
Conseguimos implementar isso com êxito usando o proxy reverso (BIG IP F5).
Todo o proxy reverso necessário é o certificado SSL e a chave privada para descriptografar e verificar se o verbo HTTP da mensagem é OPTIONS / TRACE.