X-Frame-Options des in Virtual Agent eingebetteten Clients (Härtung der Instanzsicherheit)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft com.glide.cs.embed.xframe_options, um die Konfiguration des X-Frame-Headers nur für https:// zu aktivieren.<your-instance> Seite .service-now.com/sn_va_web_client_app_embed.do

    Das Virtual Agent-Plugin ermöglicht die Einbettung eines Clients in eine externe Webseite. Damit die Client-Seite in die Webseite eingebettet werden kann, muss der X-Frame-Options-Header die Einbindung des IFrame in den übergeordneten Frame ermöglichen.
    Hinweis:
    Vermeiden Sie die Verwendung von allow-from * als Headerwert für X-Frame-Options, da dadurch alle Domänen aktiviert würden und die Anwendung potenziell angreifbar für Clickjacking wäre.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname com.glide.cs.embed.xframe_options
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Nein
    Zweck Zum Aktivieren der Spezifikation der Direktive für den X-Frame-Options-Header für die einbettbare Virtual Agent-Seite.
    Empfohlener Wert gleicher Ursprung
    Funktionale Auswirkung (Hoch) Der einbettbare Virtual Agent-Client kann nicht in externe Websites eingebettet werden, es sei denn, der X-Frame-Options-Header ist ordnungsgemäß konfiguriert.
    Sicherheitsrisiko (Mittel) Bei falscher Konfiguration (alle übergeordneten Frames werden zugelassen) kann die einbettbare Client-Seite möglicherweise angreifbar für Clickjacking sein.
    Referenzen

    Betten Sie den Virtual Agent-Webclient in eine externe Webseite ein

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.