X-Frame-Options: SAMEORIGIN (Härtung der Instanzsicherheit)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.set_x_frame_options, um den X-Frame-Options-Antwortheader für alle UI-Seiten auf SAMEORIGIN festzulegen.

    Verwenden Sie den X-Frame-Options-HTTP-Antwortheader, um anzugeben, ob der Browser eine Seite in <frame> oder <iframe>rendern darf. Websites können diese Funktion verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihr Inhalt nicht in andere Websites eingebettet wird. Ein Angreifer könnte Ihre Seite in seine eigene Seite einbetten und Ihre Seitenelemente in böswilliger Absicht ausführen. Der Endbenutzer denkt möglicherweise, dass die Seite legitim ist, da sie Ihrer Seite ähnelt. Der Endbenutzer kann wie gewohnt auf Elemente klicken, um schädliche Skripts oder Elemente auszuführen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.set_x_frame_options
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Zur Abwehr von ClickJaking-Angriffen.
    Empfohlener Wert Wahr
    Funktionale Auswirkung (Niedrig) Diese Korrektur erzwingt die Einschränkung für das Rendern einer Now Platform -Anwendung in einer Drittanbieteranwendung in Form eines iFrame. Wenn Sie über eine solche Integration verfügen, wird die Anwendung in der benutzerdefinierten Drittanbieter-App nicht gerendert.
    Sicherheitsrisiko (Mittel) Mit der Richtlinie „Same Origin“ können Sie verhindern, dass eine Domäne ein Skript oder eine Ressource aus einer anderen Domäne abruft. Alle modernen Browser unterstützen diese Funktionalität.
    Die Richtlinie validiert die Verbindung basierend auf Protokoll, Port und Host. CORS (Cross Origin Request) ist eine Änderung der Richtlinie für denselben Ursprung, die den Zugriff auf Ressourcen/Skripts aus einer anderen Domäne ermöglicht, wenn dies explizit als Teil des Headerwerts angegeben wird.
    • In diesem Fall steuert die X-Frame-Options- Kopfzeile, ob die Anwendung Now Platform auf der Drittanbieter-Website gerendert werden kann.
    • Dadurch wird das sensible Risiko reduziert, da der Eigenschaftswert bei Einstellung auf SAMEORIGIN das Rendern nicht ermöglicht.
    Referenzen

    Verfügbare Systemeigenschaften

    iFrames konfigurieren

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.