Sicherheitsrichtlinie für in Virtual Agent eingebettete Client-Inhalte (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft com.glide.cs.embed.csp_frame_ancestors, um die Konfiguration der Richtlinie „frame-ancestors“ nur für https:// zu aktivieren.<your-instance> Seite .service-now.com/sn_va_web_client_app_embed.do
Hinweis:
Vermeiden Sie es, nur
„*“ als Inhaltssicherheitsrichtlinie zu verwenden, da dadurch alle Domänen aktiviert würden und die Anwendung potenziell angreifbar für Clickjacking wäre.Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | com.glide.cs.embed.csp_frame_ancestors |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Nein |
| Zweck | Ermöglicht die Erstellung einer benutzerdefinierten Inhaltssicherheitsrichtlinie für die einbettbare Virtual Agent-Seite. |
| Empfohlener Wert | Legen Sie vertrauenswürdige Domänen fest |
| Funktionale Auswirkung | (Hoch) Der einbettbare Virtual Agent-Client lässt nicht zu, dass er in externe Websites eingebettet wird, es sei denn, die Inhaltssicherheitsrichtlinie ist ordnungsgemäß konfiguriert. |
| Sicherheitsrisiko | (Mittel) Bei falscher Konfiguration (alle übergeordneten Frames werden zugelassen) kann die einbettbare Client-Seite möglicherweise angreifbar für Clickjacking sein. |
| Referenzen | Betten Sie den Virtual Agent-Webclient in eine externe Webseite ein Weitere Informationen zum Erstellen einer Inhaltssicherheitsrichtlinie für frame-ancestors finden Sie hier. |
Schritte zum Konfigurieren von
- Navigieren zu .
- Suchen Sie nach der Eigenschaft com.glide.cs.embed.csp_frame_ancestors.
- Weisen Sie eine akzeptable Sicherheitsrichtlinie für Inhalte zu (nur Unternehmens- oder andere akzeptierte Domänen zulassen), und klicken Sie dann auf Aktualisieren.