HTTP-Antwortheader

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Ein Antwortheader ist ein einfaches Name-Wert-Paar, das in einer HTTP-Antwort verwendet wird, um zusätzliche Informationen über den Seiteninhalt bereitzustellen oder wie der Client ihn verarbeiten soll.

    Sie können HTTP-Antwortheader für alle oder bestimmte Seitentypen konfigurieren, einschließlich Serviceportal, UI-Seite oder UX-Anwendungen. Die Möglichkeit, Antwortheader zu konfigurieren und zu übergeben, ermöglicht eine spezielle Verarbeitung des Seiteninhalts durch einen Client, in der Regel ein Browser.

    Weitere Informationen dazu, was ein HTTP-Header ist und wie das Name-Wert-Paar für bestimmte HTTP-Antwortheader konfiguriert wird, finden Sie unter:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Wenn Sie Antwortheader konfigurieren, müssen Sie sich die Definition für den HTTP-Header ansehen, um zu bestimmen, wie der Client den Seiteninhalt behandelt.
    • Beispielsweise konfigurieren Sie einen HTTP-Header für eine bestimmte Seite oder alle Seiten mit einer Content-Security-Policy:frame-ancestors 'self' https://www.servicenow.com.
    • Wenn Sie die Seite in einem Browser wie Chrome aufrufen, können Sie sie im Abschnitt „Antwort-Header“ der Chrome-Entwicklertools überprüfen.

      HTTP-Header mit Content-Security-Policy: Frame-Vorgängerelemente „self“

    Weitere Informationen darüber, wie Browser eine Seite mit Frame-Vorgängern behandeln, finden Sie unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Warnung:
    Gehen Sie bei der Verwendung von URLs mit anwenderdefinierten Name/Wert-Paaren mit Vorsicht vor, da dabei ein potenzielles Sicherheitsrisiko besteht. Der unterzeichnete Sicherheitszusatz zum Vertrag Now Platform enthält implizite Sicherheit. Sie können dies potenziell oder versehentlich überschreiben, wenn Sie in den resultierenden URLs anwenderdefinierte Name-Wert-Paare verwenden.
    • Wenn Sie die Konfigurationsfunktionen für HTTP-Antwortheader vollständig deaktivieren möchten, legen Sie die Eigenschaft glide.http.headers_config.enabled auf falsefest.
    • Sobald Sie die Option auf „false“ festgelegt haben, verwendet Now Platform keine der Headerkonfigurationen, die Sie in der Tabelle „sys_response_header“ definiert haben.

    Spezielle Behandlung des Headers „Content-Security-Policy:frame-ancestor“.

    Normalerweise enthält Now Platform automatisch den Header „X-Frame-Options: SAMEORIGIN“.
    • Die Verwendung dieses Headers wird in allen Arten von Browsern basierend auf der Einstellung der globalen Eigenschaft glide.set_x_frame_options unterstützt, die standardmäßig aktiviert ist.
    • Wenn Sie eine Seite mit einem Content-Security-Policy:frame-ancestor 'self' URL1 URL2-Header konfigurieren, enthält Now Platform nicht automatisch den Header „X-Frame-Options: SAMEORIGIN“. Das Ausschließen verhindert eine Verwirrung des Browsers, da Content-Security-Policy: Frame-Vorgänger „self“ bereits einen ähnlichen Effekt hat.

    Spezielle Behandlung von Content-Security-Policy: Frame-Vorgänger-Header für Internet Explorer

    Mit dem Header Content-Security-Policy:frame-ancestor 'self' URL1 URL2 können Sie mehrere URL-Quellen konfigurieren, um die Seite aus einem iFrame einzubeziehen, der von einer Drittanbieterwebsite gerendert wird. Internet Explorer unterstützt diese Art von Header jedoch nicht.
    • Stattdessen unterstützt Internet Explorer in diesem Header nur die Direktive „X-Frame-Options: ALLOW-FROM URL“ (ALLOW-FROM), obwohl die Einschränkung für eine einzelne Host-URL gilt.
    • Wenn Sie den URL1 URL2-Header des Frame-Vorgängers „self“ konfigurieren und Internet Explorer verwendet wird, verwendet Now Platform stattdessen automatisch den Header X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM).
    Wenn die Internet Explorer-Anforderung den Referrer-URL-Header enthält:
    • Es wird versucht, es mit den Host-URLs abzugleichen (nur URL-Format vom Typ „http://*.example.com“ mit Platzhaltern oder Platzhaltern), die im Header „Content-Security-Policy: Frame-ancestor 'self' URL1 URL2“ konfiguriert sind.
    • Wenn eine Übereinstimmung vorliegt, fügen Sie die übereinstimmende URL als X-Frame-Options: ALLOW-FROM URL1 ein.
    • Wenn kein Referrer-Header vorhanden ist, werden die ersten Host-URLs ohne Platzhalter verwendet, die im Header „Content-Security-Policy: Frame-ancestor 'self' URL1 URL2“ konfiguriert sind.
    Hinweis:
    Fügen Sie beim Konfigurieren von URLs keinen Schrägstrich am Ende der URL ein.
    • Hier ein Beispiel für eine falsche Konfiguration, die mit dieser speziellen Verarbeitung möglicherweise nicht ordnungsgemäß funktioniert:
      • Name: Content-Security-Policy
      • Wert: Frame-Vorgänger „self“ https://microsoft.com/
    • Verwenden Sie stattdessen die richtige Syntax:
      • Name: Content-Security-Policy
      • Wert: Frame-Vorgängerelemente „self“ https://microsoft.com