HTTP-Antwortheader

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Ein Antwort-Header ist ein einfaches Name-Wert-Paar, das in einer HTTP-Antwort verwendet wird, um zusätzliche Informationen über den Seiteninhalt bereitzustellen oder darüber, wie der Client ihn verarbeiten soll.

    Sie können HTTP-Antwortheader für alle oder bestimmte Seitentypen konfigurieren, einschließlich Serviceportal, UI-Seiten oder UX-Anwendungen. Die Möglichkeit, Antwortheader zu konfigurieren und zu übergeben, ermöglicht die spezielle Verarbeitung des Seiteninhalts durch einen Client, in der Regel einen Browser.

    Weitere Informationen dazu, was ein HTTP-Header ist und wie das Name-Wert-Paar für bestimmte HTTP-Antwortheader konfiguriert wird, finden Sie unter:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Bei der Konfiguration von Antwortheadern müssen Sie sich die Definition für den HTTP-Header ansehen, um zu bestimmen, wie der Client den Seiteninhalt behandelt.
    • Konfigurieren Sie beispielsweise einen HTTP-Header für eine bestimmte Seite oder alle Seiten mit einer Content-Security-Policy: frame-ancestors 'self' https://www.servicenow.com.
    • Wenn Sie die Seite in einem Browser wie Chrome aufrufen, können Sie sie im Abschnitt „Antwortheader“ der Chrome-Entwicklertools überprüfen.

      HTTP-Header mit Content-Security-Policy: frame-ancestors 'self'

    Weitere Informationen darüber, wie Browser eine Seite mit Frame-Vorgängern behandeln, finden Sie unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Warnung:
    Wenn Sie URLs mit benutzerdefinierten Name-Wert-Paaren verwenden, gehen Sie mit Vorsicht vor, da dabei ein potenzielles Sicherheitsrisiko besteht. Der unterzeichnete Sicherheitszusatz zum Vertrag Now Platform hat Sicherheit impliziert. Sie können dies möglicherweise oder versehentlich überschreiben, wenn Sie in den resultierenden URLs benutzerdefinierte Name-Wert-Paare verwenden.
    • Wenn Sie die Konfigurationsfunktionen für HTTP-Antwortheader vollständig deaktivieren möchten, legen Sie die Eigenschaft glide.http.headers_config.enabled auf falsefest.
    • Sobald Sie die Option auf „false“ festgelegt haben, verwendet Now Platform keine der Headerkonfigurationen, die Sie in der Tabelle „sys_response_header“ definiert haben.

    Spezielle Behandlung der Content-Security-Policy: Header „frame-ancestor“.

    Normalerweise enthält Now Platform automatisch die Kopfzeile X-Frame-Options: SAMEORIGIN.
    • Sie unterstützt die Verwendung dieses Headers in allen Arten von Browsern, basierend auf der Einstellung der globalen Eigenschaft glide.set_x_frame_options, die standardmäßig aktiviert ist.
    • Wenn Sie eine Seite mit einer Content-Security-Policy: frame-ancestor 'self' URL1 URL2-Kopfzeile konfigurieren, enthält Now Platform nicht automatisch die X-Frame-Options: SAMEORIGIN-Kopfzeile. Durch das Ausschließen wird verhindert, dass der Browser verwechselt wird, da Content-Security-Policy: frame-ancestor 'self' bereits eine ähnliche Wirkung hat.

    Spezielle Behandlung von Content-Security-Policy: frame-ancestor-Header für Internet Explorer

    Mit der Kopfzeile Content-Security-Policy: frame-ancestor 'self' URL1 URL2 können Sie mehrere URL-Quellen konfigurieren, um die Seite aus einem iFrame einzubeziehen, der von einer Drittanbieter-Website gerendert wird. Internet Explorer unterstützt diesen Headertyp jedoch nicht.
    • Stattdessen unterstützt Internet Explorer in diesem Header nur die Direktive X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM), obwohl die Einschränkung für eine einzelne Host-URL gilt.
    • Wenn Sie die URL1-URL2-Kopfzeile des Frame-Vorgängers „self“ konfigurieren und Internet Explorer verwendet wird, verwendet Now Platform stattdessen automatisch die Kopfzeile X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM).
    Wenn die Internet Explorer-Anforderung den Referrer-URL-Header enthält:
    • Es wird versucht, sie mit den Host-URLs (nur URL-Format mit vollständigem oder Platzhalter-URL-Format http://*.example.com) abzugleichen, die in der Content-Security-Policy konfiguriert sind: frame-ancestor 'self' URL1 URL2-Header.
    • Wenn es eine Übereinstimmung gibt, fügen Sie die übereinstimmende URL als X-Frame-Options: ALLOW-FROM URL1 hinzu.
    • Wenn kein Referrer-Header vorhanden ist, werden die ersten nicht auf Platzhaltern basierenden Host-URLs verwendet, die in der Content-Security-Policy konfiguriert sind: frame-ancestor 'self' URL1 URL2 header.
    Hinweis:
    Fügen Sie beim Konfigurieren von URLs keinen Schrägstrich am Ende der URL hinzu.
    • Dieses Beispiel einer falschen Konfiguration, die mit dieser speziellen Behandlung möglicherweise nicht ordnungsgemäß funktioniert:
      • Name: Content-Security-Policy
      • Wert: frame-ancestors 'self' https://microsoft.com/
    • Verwenden Sie stattdessen diese korrekte Syntax:
      • Name: Content-Security-Policy
      • Wert: frame-ancestors 'self' https://microsoft.com