Docusign, встроенный в iframe, похоже, не подчиняется директивам межсайтового скриптинга

Question

Всего за несколько недель go казалось, что создание представления получателя внутри iframe работает без каких-либо серьезных осложнений. Но во время сегодняшнего тестирования на демонстрационном сайте для разработки я обнаружил, что URL в конечном итоге внутренне разрешается чем-то, что блокируется моим браузером, потому что «Этот контент не может быть отображен в iframe. Издатель».

Хотя первоначальный возврат URL возврата кажется нормальным, оказывается, что к тому времени, когда система разрешает account-d.docusign.com, происходит следующее: docusign устанавливает X-Frame-Origins: SAMEORIGIN, что, безусловно, блокирует любой iframe. content.

Однако, несмотря на то, что docusign заявляет, что не рекомендует iframe из-за проблем с размером и мобильности, в нем не говорится, что iframe категорически запрещен, скажем, для веб-приложений. В любом случае, установка

viewRequest.XFrameOptions = "allow_from"; viewRequest.XFrameOptionsAllowFromUrl = myHost;

Следует ли изменить заголовок X-Frame-Origins для URL-адреса, созданного созданным запросом представления, не так ли?

Может кто-нибудь увидеть, что я могу делать неправильно, или был недавний релиз docusign, который изменил поведение так, что iFrames категорически запрещены?

Answer 1

Использование iFrames для встроенной подписи работает нормально, но не рекомендуется ни при каких обстоятельствах. Вместо этого лучше перенаправить браузер подписавшего на встроенную церемонию подписания.

Использование iFrame работает, я только что проверил.

Что не работает, так это использование одного из Серверы идентификации DocuSign в iFrame (account.docusign.com и account-d.docusign.com)

Поскольку ваша ошибка связана с account-d.docusign.com, это означает, что что-то не так с аутентификацией.

Я думаю, вам нужно будет больше тестировать, чтобы выяснить, что происходит. Убедитесь, что вы используете URL-адрес, возвращенный из вызова API представления представления получателя.