防止 Acrobat Sign 內嵌於第三方網站

搜尋
Adobe Acrobat Sign

Adobe Acrobat Sign

在網頁上開啟

使用基於 API 的框架控制來保護您的嵌入式簽署體驗免受點擊劫持威脅。

點擊劫持是一種攻擊類型,惡意網站欺騙使用者點擊與其所認知不同的內容,可能劫持同意批准或簽署等操作。

這項點擊劫持防禦功能可控制何時及如何將 Acrobat Sign 頁面嵌入 iframe 中,藉此避免這項有害活動,確保只有受信任的網域才能在受控制的條件下執行。

啟用點擊劫持防禦可保護使用者,同時允許已核准的工作流程順利運作。

設定

可用性:

  • Acrobat StandardAcrobat Pro:無法設定
  • Acrobat Sign Solutions:支援;預設為停用
  • 適用於政府的 Acrobat Sign:支援;預設為啟用

設定範圍:

管理員可在帳戶和群組層級啟用此功能。

導覽管理員的設定選單,前往「安全性設定 > 防止 Adobe Acrobat Sign 內嵌於第三方網站」,以存取此功能

「安全性設定管理員」頁面,強調「防止 Adobe Acrobat Sign 內嵌於第三方網站」控制項。

使用方式

啟用點擊劫持防禦時,Acrobat Sign 僅在以下情況下允許 iframe 嵌入:

  • 整合使用 REST API v5 或更新版本
  • 在 API 請求中將 autoLoginUser 標幟設為真
  • 透過 commonViewConfiguration 物件在請求中提供 frameParent 網域
{
    "commonViewConfiguration": {
    "autoLoginUser": true,
    "frameParent": "yourdomain.com"
    }
}

最佳實務

建議所有客戶使用此功能,特別是那些未在 iframe 中嵌入 Acrobat Sign 頁面的客戶。

如果您正在任何外部應用程式中建立 Acrobat Sign 的框架,這麼做有助於維持安全性,同時保留整合工作流程。例如:

  • 在自訂網站應用程式中嵌入簽署或管理視圖。
  • 在您的網域中使用自動登入流程,以獲得流暢的簽署者體驗。
  • 確保使用者只能從您授權的 iframe 內容與文件互動。

客戶應該只在他們的整合未在 API 呼叫中定義 frameParent 參數時才停用此功能。

注意事項

  • 點擊劫持防禦功能適用於網頁的所有視圖,但 SOAP 和舊版 REST 整合不允許內嵌 Acrobat Sign。
  • 瀏覽器支援因情況而異:有些舊版瀏覽器 (例如 Internet Explorer) 不支援 CSP frame ancestors,同時也會強制執行「X-Frame Options」。

疑難排解

如果您無法在啟用點擊劫持防禦功能的情況下,顯示您的 iframe:

  • 確保您使用的是 REST API v5 或更新版本。
  • 確保您的 /views API 呼叫包含 frameParent 參數。

Adobe, Inc.

更快、更輕鬆地獲得協助

新的使用者?

快速連結

檢視您的所有計劃 管理您的計劃
檢視快速連結
隱藏快速連結

法律注意事項    |    線上隱私權政策