Parameter:
HTTPDisableXFrameOptionsKurzbeschreibung: Schaltet das automatische Setzen des
X-Frame-Options-Antwortheaders durch den Domino-HTTP-Task ab.Steckbrief
Parameter | HTTPDisableXFrameOptions |
Kategorie | HTTP / Web |
Komponente | Server |
Verfügbar seit | 9.0 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Web Site- / Internet Site-Dokument |
Mögliche Werte | 0 = X-Frame-Options setzen (Standard, empfohlen), 1 = nicht setzen |
Beschreibung
Domino setzt standardmäßig
X-Frame-Options: SAMEORIGIN, um Clickjacking durch Einbettung in fremde IFrames zu verhindern. In speziellen Embedding-Szenarien (z. B. Notes-Webparts in einem Portal) kann das stören. HTTPDisableXFrameOptions=1 schaltet das Setzen dieses Headers durch den HTTP-Task ab – Anwendungen oder ein vorgelagerter Reverse-Proxy müssen den Schutz dann selbst über X-Frame-Options oder Content-Security-Policy: frame-ancestors übernehmen.Beispiel-Konfiguration
HTTPDisableXFrameOptions=0
Hinweise & Stolperfallen
- Für produktive, internetfacing Server nicht dauerhaft auf
1setzen, ohne Ersatzschutz über CSP/Reverse-Proxy.
- Moderne Browser bevorzugen
Content-Security-Policy: frame-ancestorsgegenüberX-Frame-Options– idealerweise zusätzlich konfigurieren.
- Wirkt nach HTTP-Restart (
tell http restart).
- Wird oft mit Embedding-Anforderungen aus iNotes/Verse-Integrationen verwechselt; Use-Case vorab prüfen.