X-Frame-options implementieren: SAMEORIGIN-Sicherheitsheader [aktualisiert in Security Center 1,3]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie glide.set_x_frame_optionsEigenschaft zum Festlegen des X-Frame-Options-Antwortheaders auf SAMEORIGIN für alle UI-Seiten.

    Verwenden Sie den HTTP-Antwortheader X-Frame-Options, um anzugeben, ob der Browser eine Seite in einem rendern darf <frame>Oder <iframe>. Websites können diese Funktion verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihre Inhalte nicht in andere Websites eingebettet werden. Ein Angreifer kann Ihre Seite in seine eigene Seite einbetten und dazu führen, dass Ihre Seitenelemente böswillig funktionieren. Der Endanwender denkt möglicherweise, dass die Seite legitim ist, da sie Ihrer Seite ähnelt. Der Endanwender kann auf Elemente wie üblich klicken, nur um schädliche Skripts oder Elemente auszuführen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.set_x_frame_options
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Konfiguration
    Zweck Um Clickjacking-Angriffe zu mindern.
    Empfohlener Wert wahr
    Standardwert wahr
    Sicherheitsrisikobewertung 5,9
    Funktionale Auswirkung Diese Korrektur erzwingt die Einschränkung für das Rendern von ServiceNow AI Platform Anwendung in einer Drittpartei-Anwendung in Form eines iFrame. Wenn Sie über eine solche Integration verfügen, würde die Anwendung nicht in der anwenderdefinierten Drittanbieter-App gerendert.
    Sicherheitsrisiko (Mittel) mit derselben Ursprungsrichtlinie können Sie eine Domäne daran hindern, ein Skript oder eine Ressource aus anderen Domänen abzurufen. Alle modernen Browser unterstützen diese Funktionalität.
    Die Richtlinie validiert die Verbindung basierend auf Protokoll, Port und Host. CORS (Cross Origin Request) ist eine Änderung an derselben Ursprungsrichtlinie, die Zugriff auf Ressourcen/Skripts aus einer anderen Domäne ermöglicht, wenn explizit als Teil des Headerwerts angegeben.
    • In diesem Fall steuert der Header „X-Frame-Options“, ob der ServiceNow AI Platform Die Anwendung kann auf der Website der Drittpartei gerendert werden.
    • Es reduziert das sensible Risiko, da der Eigenschaftswert auf festgelegt ist SAMEORIGIN Aktiviert das Rendern nicht.
    Referenzen

    Verfügbare Systemeigenschaften

    iFrames konfigurieren

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.