Outlook.office.com и outlook.office365.com

Мы настроили наш сервер для обслуживания надстройки Outlook, используя

X-Frame-Options "ALLOW-FROM https://outlook.office.com"

Наше приложение было отклонено Магазином Office, так как оно тестировалось outlook.office365.com. Мы не видим способа разрешить использование нескольких доменов (например, outlook.office.com и outlook.office365.com)

Не могли бы вы помочь нам здесь?

PS: Когда мы полностью перейдем на один из них?


http office-js outlook-web-addins office-store
person Gags    schedule 29.01.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Заголовок X-Frame-Options может поддерживать только один домен для ALLOW-FROM.

Что касается конкретно веб-надстроек Outlook, небезопасно считать outlook.office.com хост-доменом. Источником может быть любое количество известных доменов (outlook.office.com, outlook.office365.com, outlook.live.com и т. д.) или даже собственный домен (например, OWA с локальным сервером Exchange).

Также стоит отметить, что X-Frame-Options не является полностью поддерживается во всех браузерах. Как правило, если вы не ищете пустой DENY рендеринг в кадре X-Frame-Options не очень надежен. А учитывая, что веб-надстройки Office по определению запускаются внутри IFRAME в браузере, скорее всего, это вызовет гораздо больше проблем, чем решит.

person Marc LaFleur    schedule 29.01.2018
comment
это почти то же самое, что и stackoverflow.com/questions/48334839/ - person Outlook Add-ins Team - MSFT; 29.01.2018
comment
@OutlookAdd-insTeam-MSFT Каков предлагаемый способ заставить его работать в iframe, а также позаботиться о кликджекинге? - person Mukesh Soni; 30.01.2018
comment
Учитывая, что предотвращение кликджекинга означает предотвращение создания вашего приложения другим сайтом/приложением, здесь нет хорошего варианта. В конце концов, весь смысл вашей надстройки в том, что вам нужно, чтобы она была обрамлена другим приложением. - person Marc LaFleur; 30.01.2018