HTTP-Antwortheader

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Ein Antwortheader ist ein einfaches Name-Wert-Paar, das in einer HTTP-Antwort verwendet wird, um zusätzliche Informationen zum Seiteninhalt oder zur Verarbeitung durch den Client bereitzustellen.

    Sie können HTTP-Antwortheader für alle oder bestimmte Seitentypen konfigurieren, einschließlich Serviceportal, UI-Seite oder UX-Anwendungen. Die Fähigkeit, Antwortheader zu konfigurieren und zu übergeben, ermöglicht eine spezielle Verarbeitung des Seiteninhalts durch einen Client, meist einen Browser.

    Weitere Informationen darüber, was ein HTTP-Header ist und wie das Name-Wert-Paar für bestimmte HTTP-Antwort-Header konfiguriert wird, finden Sie unter:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Beim Konfigurieren von Antwortheadern müssen Sie sich die Definition für den HTTP-Header ansehen, um zu bestimmen, wie der Client den Seiteninhalt verarbeiten würde.
    • Sie konfigurieren beispielsweise einen HTTP-Header für eine bestimmte Seite oder alle Seiten mit einer Inhaltssicherheitsrichtlinie: Frame-ancestors „Self“ https://www.servicenow.com.
    • Wenn Sie die Seite in einem Browser wie Chrome aufrufen, können Sie sie im Abschnitt „Antwortheader“ von Chrome-Entwicklertools überprüfen.

      HTTP-Header mit Content-Security-Policy: Frame-ancestors „Self“

    Weitere Informationen darüber, wie Browser eine Seite mit Frame-Vorgängern verarbeiten, finden Sie unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Warnung:
    Wenn Sie URLs mit anwenderdefinierten Name-Wert-Paaren verwenden, gehen Sie mit Vorsicht vor, da dabei ein potenzielles Sicherheitsrisiko besteht. Die unterzeichnete Sicherheitsänderung an ServiceNow AI Platform Vertrag hat implizite Sicherheit. Sie können es möglicherweise oder versehentlich überschreiben, wenn Sie anwenderdefinierte Name-Wert-Paare in den resultierenden URLs verwenden.
    • Wenn Sie die Konfigurationsfunktionen des HTTP-Antwortheaders vollständig deaktivieren möchten, legen Sie fest glide.http.headers_config.enabledEigenschaft bis Falsch .
    • Sobald Sie sie auf „falsch“ festgelegt haben, ServiceNow AI Platform Verwendet keine der Headerkonfigurationen, die Sie in der Tabelle „sys_response_Header“ definiert haben.

    Spezielle Handhabung der Content-Security-Policy: Frame-Vorgängerheader

    Normalerweise ist ServiceNow AI Platform Schließt automatisch den Header „X-Frame-Optionen: SAMEORIGIN“ ein.
    • Unterstützt die Verwendung dieses Headers in allen Browsertypen, basierend auf der Einstellung von glide.set_x_frame_optionsGlobale Eigenschaft, die standardmäßig aktiviert ist.
    • Wenn Sie eine Seite mit dem URL1-URL2-Header „Content-Security-Policy: Frame-ancestor“ konfigurieren, wird ServiceNow AI Platform Enthält nicht automatisch den Header „X-Frame-Optionen: SAMEORIGIN“. Durch Ausschließen wird verhindert, dass der Browser verwirrt wird, da Content-Security-Policy: Frame-Vorgänger „selbst“ bereits eine ähnliche Wirkung hat.

    Spezielle Handhabung von Inhaltssicherheitsrichtlinie: Frame-Vorgängerheader für Internet Explorer

    Mithilfe des URL1-URL2-Headers „Content-Security-Policy: Frame-Vorgänger“ können Sie mehrere URL-Quellen konfigurieren, um die Seite aus einem iFrame einzubeziehen, der von einer Drittpartei-Website gerendert wird. Internet Explorer unterstützt diesen Header jedoch nicht.
    • Stattdessen unterstützt der Internet Explorer nur die X-Frame-Optionen: ALLOW-FROM URL-Anweisung (ALLOW-FROM) in diesem Header, obwohl die Einschränkung für eine einzelne Host-URL gilt.
    • Wenn Sie den URL1-URL2-Header des Frame-Vorgängers „selbst“ konfigurieren und Internet Explorer verwendet wird, wird ServiceNow AI Platform Verwendet stattdessen automatisch den Header X-Frame-Optionen: ALLOW-FROM URL (ALLOW-FROM).
    Wenn die Internet Explorer-Anforderung den Referrer-URL-Header enthält:
    • Es wird versucht, sie mit den Host-URLs (nur URL-Format vom Typ „voll“ oder „Platzhalter http://*.example.com“) abzugleichen, die im URL2-Header „Content-Security-Policy“ konfiguriert sind.
    • Wenn eine Übereinstimmung vorhanden ist, fügen Sie die übereinstimmende URL als X-Frame-Optionen ein: ZULASSEN-VON URL1.
    • Wenn kein Referrer-Header vorhanden ist, werden die ersten nicht-Platzhalterbasierten Host-URLs verwendet, die im URL2-Header „Content-Security-Policy: Frame-Vorgängermodell „Self“ konfiguriert sind.
    Hinweis:
    Fügen Sie beim Konfigurieren von URLs keinen Schrägstrich am Ende der URL hinzu.
    • Dieses Beispiel für eine falsche Konfiguration, die mit dieser speziellen Behandlung möglicherweise nicht ordnungsgemäß funktioniert:
      • Name: Content-Security-Policy
      • Wert: Frame-ancestors „Self“ https://microsoft.com/
    • Verwenden Sie stattdessen die richtige Syntax:
      • Name: Content-Security-Policy
      • Wert: Frame-ancestors „Self“ https://microsoft.com