X-Frame-Options für eingebetteten Virtual Agent-Client (Härtung der Instanzsicherheit)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft com.glide.cs.embed.xframe_options, um die Konfiguration des X-Frame-Headers nur für https:// zu aktivieren.<your-instance> Seite .service-now.com/sn_va_web_client_app_embed.do

    Das Virtual Agent-Plugin ermöglicht die Einbettung eines Clients in eine externe Webseite. Damit die Clientseite in eine Webseite eingebettet werden kann, muss der X-Frame-Options-Header die Einbindung des IFrame in den übergeordneten Frame ermöglichen.
    Hinweis:
    Vermeiden Sie die Verwendung von „ allow-from * “ als Headerwert für X-Frame-Options, da dadurch alle Domänen aktiviert würden und die Anwendung potenziell angreifbar für Clickjacking wäre.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname com.glide.cs.embed.xframe_options
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Konfigurieren Sie im Instanz-Sicherheitszentrum Nein
    Zweck Zum Aktivieren der Angabe der Direktive für den X-Frame-Options-Header für die einbettbare Virtual Agent-Seite.
    Empfohlener Wert gleicher Herkunft
    Funktionale Auswirkung (Hoch) Der einbettbare Virtual Agent-Client ermöglicht sich nicht die Einbettung in externe Websites, wenn der X-Frame-Options-Header nicht ordnungsgemäß konfiguriert ist.
    Sicherheitsrisiko (Mittel) Bei falscher Konfiguration (alle übergeordneten Frames zulassen) kann die einbettbare Client-Seite möglicherweise angreifbar für Clickjacking werden.
    Referenzen

    Betten Sie den Virtual Agent-Webclient in eine externe Webseite ein

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.