Implementieren Sie den Sicherheitsheader „x-frame-options: SAMEORIGIN“ [Aktualisiert in Security Center 1.3]

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.set_x_frame_options, um den X-Frame-Options-Antwortheader für alle UI-Seiten auf SAMEORIGIN festzulegen.

    Verwenden Sie den HTTP-Antwortheader „X-Frame-Options“, um anzugeben, ob der Browser eine Seite in <frame> oder <iframe>rendern darf. Websites können diese Funktion verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihr Inhalt nicht in andere Websites eingebettet wird. Ein Angreifer könnte Ihre Seite in seine eigene Seite einbetten und Ihre Seitenelemente in böswillige Absichten überführen. Der Endanwender hält die Seite möglicherweise für legitim, da sie Ihrer Seite ähnelt. Der Endanwender kann wie üblich auf Elemente klicken, um schädliche Skripts oder Elemente auszuführen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.set_x_frame_options
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Konfiguration
    Zweck Zur Abwehr von ClickJacking-Angriffen.
    Empfohlener Wert wahr
    Standardwert wahr
    Sicherheitsrisikobewertung 7.1
    Funktionale Auswirkung (Niedrig) Diese Korrektur erzwingt die Einschränkung für das Rendern einer Now Platform -Anwendung in einer Drittparteianwendung in Form eines iFrame. Wenn Sie über eine solche Integration verfügen, wird die Anwendung in der angepassten Drittanbieter-App nicht gerendert.
    Sicherheitsrisiko (Mittel) Mit der Richtlinie „Same Origin“ können Sie verhindern, dass eine Domäne ein Skript oder eine Ressource aus einer anderen Domäne abruft. Alle modernen Browser unterstützen diese Funktionalität.
    Die Richtlinie validiert die Verbindung basierend auf Protokoll, Port und Host. CORS (Cross Origin Request) ist eine Änderung der Richtlinie für gleiche Herkunft, die den Zugriff auf Ressourcen/Skripts aus einer anderen Domäne ermöglicht, wenn sie explizit als Teil des Headerwerts angegeben wird.
    • In diesem Fall steuert der X-Frame-Options-Header, ob die Anwendung Now Platform auf der Website des Drittanbieters gerendert werden kann.
    • Reduziert das sensible Risiko, da der Eigenschaftswert, wenn er auf SAMEORIGIN festgelegt ist, das Rendern nicht ermöglicht.
    Referenzen

    Verfügbare Systemeigenschaften

    iFrames konfigurieren

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.