Impedire che Acrobat Sign venga incorporato in siti web di terze parti

Cerca
Adobe Acrobat Sign

Adobe Acrobat Sign

Apri sul Web

Proteggi la tua esperienza di firma incorporata dalle minacce di clickjacking utilizzando i controlli di framing basati su API.

Il clickjacking è un tipo di attacco in cui un sito malevolo inganna un utente facendolo cliccare su qualcosa di diverso da ciò che percepisce, potenzialmente dirottando azioni come l’approvazione o la firma di un accordo.

Questa funzione di difesa dal clickjacking previene questa attività dannosa controllando quando e come le pagine di Acrobat Sign possono essere incorporate in un iframe, assicurando che solo i domini fidati possano farlo e solo in condizioni controllate.

L’attivazione della difesa dal clickjacking protegge gli utenti consentendo al contempo ai flussi di lavoro approvati di funzionare senza intoppi.

Configurazione

Disponibilità:

  • Acrobat Standard e Acrobat Pro: non configurabile
  • Acrobat Sign Solutions: supportato; disabilitato per impostazione predefinita
  • Acrobat Sign per la Pubblica amministrazione: supportato; abilitato per impostazione predefinita.

Ambito di configurazione:

Gli amministratori possono abilitare questa opzione a livello di account e di gruppo.

Accedi a questa funzione navigando nel menu di configurazione dell'amministratore fino a Impostazioni di sicurezza > Impedisci l'incorporamento di Adobe Acrobat Sign in siti web di terze parti

La pagina Impostazioni di sicurezza dell'amministratore che evidenzia i controlli "Impedisci l'incorporamento di Adobe Acrobat Sign in siti web di terze parti".

Come utilizzare questa funzione

Quando la difesa dal clickjacking è abilitata, Acrobat Sign consente l'incorporamento in iframe solo quando:

  • L'integrazione utilizza l'API REST v5 o successiva
  • Il flag autoLoginUser è impostato su true nella richiesta API
  • Un dominio frameParent viene fornito nella richiesta tramite l'oggetto commonViewConfiguration
{
    "commonViewConfiguration": {
    "autoLoginUser": true,
    "frameParent": "yourdomain.com"
    }
}

Best practice

Questa funzione è consigliata per tutti i clienti, in particolare per quelli che non incorporano le pagine di Acrobat Sign in un iframe.

Se stai incorporando Acrobat Sign in qualsiasi applicazione esterna, questo aiuta a mantenere la sicurezza preservando il flusso di lavoro della tua integrazione. Esempio:

  • Incorporare viste di firma o gestione in un'applicazione web personalizzata.
  • Utilizzare il flusso di accesso automatico per un'esperienza di firma fluida all'interno del tuo dominio.
  • Assicurare che gli utenti possano interagire con i documenti solo dal contesto iframe autorizzato.

I clienti dovrebbero disabilitare questa funzione solo se hanno un'integrazione che non definisce il parametro frameParent nella chiamata API.

Aspetti da considerare

  • La difesa dal clickjacking si applica a tutte le viste della pagina web, ma le integrazioni SOAP e REST precedenti non consentono l'incorporamento di Acrobat Sign.
  • Il supporto del browser varia: alcuni browser più vecchi (come Internet Explorer) non supportano i predecessori del frame CSP. Viene applicata anche X-Frame Options.

Risoluzione dei problemi

Se stai avendo difficoltà a visualizzare il tuo iframe con la difesa dal clickjacking abilitata:

  • Assicurati di utilizzare l'API REST v5 o successiva.
  • Assicurati che le tue chiamate API /views includano il parametro frameParent.

Adobe, Inc.

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Collegamenti rapidi

Visualizza tutti i tuoi piani Gestione dei piani
Visualizza collegamenti rapidi
Nascondi collegamenti rapidi

Note legali    |    Informativa sulla privacy online