Sicherheitsrichtlinie für eingebetteten Virtual Agent-Client-Inhalt (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft com.glide.cs.embed.csp_frame_ancestors, um die Konfiguration der Richtlinie „frame-ancestors“ nur für https:// zu aktivieren.<your-instance> Seite .service-now.com/sn_va_web_client_app_embed.do
Hinweis:
Vermeiden Sie es, nur
„*“ als Inhaltssicherheitsrichtlinie zu verwenden, da dadurch alle Domänen aktiviert würden und die Anwendung potenziell angreifbar für Clickjacking wäre.Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | com.glide.cs.embed.csp_frame_ancestors |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Nein |
| Zweck | Um die Erstellung einer anwenderdefinierten Inhaltssicherheitsrichtlinie für die einbettbare Virtual Agent-Seite zu ermöglichen. |
| Empfohlener Wert | Auf vertrauenswürdige Domänen festlegen |
| Funktionale Auswirkung | (Hoch) Einbettbarer Virtual Agent-Client lässt nicht zu, dass er in externe Websites eingebettet wird, wenn die Inhaltssicherheitsrichtlinie nicht ordnungsgemäß konfiguriert ist. |
| Sicherheitsrisiko | (Mittel) Bei falscher Konfiguration (alle übergeordneten Frames zulassen) kann die einbettbare Client-Seite möglicherweise angreifbar für Clickjacking werden. |
| Referenzen | Betten Sie den Virtual Agent-Webclient in eine externe Webseite ein Weitere Informationen zum Erstellen einer Inhaltssicherheitsrichtlinie für Frame-Vorgänger finden Sie hier. |
Schritte zum Konfigurieren von
- Navigieren zu an.
- Suchen Sie nach der Eigenschaft com.glide.cs.embed.csp_frame_ancestors.
- Weisen Sie eine akzeptable Sicherheitsrichtlinie für Inhalte zu (nur Unternehmens- oder andere akzeptierte Domänen zulassen), und klicken Sie dann auf Aktualisieren.