HTTP-Antwortheader

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Ein Antwortheader ist ein einfaches Name-Wert-Paar, das in einer HTTP-Antwort verwendet wird, um zusätzliche Informationen zum Seiteninhalt oder zur Verarbeitung durch den Client bereitzustellen.

    Sie können HTTP-Antwortheader für alle oder bestimmte Seitentypen konfigurieren, einschließlich Serviceportal, UI-Seite oder UX-Anwendungen. Die Möglichkeit, Antwortheader zu konfigurieren und zu übergeben, ermöglicht eine spezielle Verarbeitung des Seiteninhalts durch einen Client, meist einen Browser.

    Weitere Informationen darüber, was ein HTTP-Header ist und wie das Name-Wert-Paar für bestimmte HTTP-Antwort-Header konfiguriert wird, finden Sie unter:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Beim Konfigurieren von Antwortheadern müssen Sie sich die Definition für den HTTP-Header ansehen, um zu bestimmen, wie der Client den Seiteninhalt verarbeiten würde.
    • Sie konfigurieren beispielsweise einen HTTP-Header für eine bestimmte Seite oder alle Seiten mit einer Content-Security-Policy: Frame-ancestors 'Self' https://www.servicenow.com.
    • Wenn Sie die Seite in einem Browser wie Chrome aufrufen, können Sie sie im Abschnitt „Antwort-Header“ von Chrome Developer Tools überprüfen.

      HTTP-Header mit Content-Security-Policy: Frame-ancestors „Self“

    Weitere Informationen dazu, wie Browser eine Seite mit Frame-Vorgängern verarbeiten, finden Sie unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors.

    Warnung:
    Gehen Sie bei der Verwendung von URLs mit anwenderdefinierten Name-Wert-Paaren vorsichtig vor, da dabei ein potenzielles Sicherheitsrisiko besteht. Die unterzeichnete Sicherheitsänderung für ServiceNow AI Platform Vertrag hat Sicherheit impliziert. Sie können sie möglicherweise oder versehentlich überschreiben, wenn Sie anwenderdefinierte Name-Wert-Paare in den resultierenden URLs verwenden.
    • Wenn Sie die Konfigurationsfunktionen des HTTP-Antwortheaders vollständig deaktivieren möchten, legen Sie fest glide.http.headers_config.enabledEigenschaft bis Falsch .
    • Sobald Sie sie auf „falsch“ festgelegt haben, ServiceNow AI Platform Verwendet keine der Headerkonfigurationen, die Sie in der Tabelle „sys_response_Header“ definiert haben.

    Spezielle Behandlung des Inhalts-Sicherheits-Richtlinie: Frame-Vorgängerheader

    Normalerweise ist ServiceNow AI Platform Schließt automatisch den Header „X-Frame-Options: SAMEORIGIN“ ein.
    • Unterstützt die Verwendung dieses Headers in allen Browsertypen, basierend auf der Einstellung von glide.set_x_frame_optionsGlobale Eigenschaft, die standardmäßig aktiviert ist.
    • Wenn Sie eine Seite mit dem URL1-Header „Content-Security-Policy: Frame-ancestor“ URL2 konfigurieren, wird der ServiceNow AI Platform Enthält nicht automatisch den Header „X-Frame-Options: SAMEORIGIN“. Durch Ausschließen wird verhindert, dass der Browser verwirrt wird, da Content-Security-Policy: Frame-ancestor „Self“ bereits eine ähnliche Wirkung hat.

    Spezielle Behandlung von Content-Security-Policy: Frame-Vorgängerheader für Internet Explorer

    Mit dem URL1-URL2-Header „Content-Security-Policy: Frame-Vorgänger“ können Sie mehrere URL-Quellen konfigurieren, um die Seite aus einem iFrame einzubeziehen, der von einer Drittanbieterwebsite gerendert wird. Internet Explorer unterstützt diesen Headertyp jedoch nicht.
    • Stattdessen unterstützt Internet Explorer nur die X-Frame-Options: ALLOW-FROM URL-Anweisung (ALLOW-FROM) in diesem Header, obwohl die Einschränkung für eine einzelne Host-URL gilt.
    • Wenn Sie den URL1-URL2-Header des Frame-Vorgängers „Self“ konfigurieren und Internet Explorer verwendet wird, wird der verwendet ServiceNow AI Platform Verwendet stattdessen automatisch den Header X-Frame-Options: ALLOW-FROM URL (ALLOW-FROM).
    Wenn die Internet Explorer-Anforderung den Referrer-URL-Header enthält:
    • Es wird versucht, sie mit den Host-URLs (nur URL-Format vom Typ „voll“ oder „Platzhalter“ vom Typ „http://*.example.com“) abzugleichen, die im URL2-Header „Content-Security-Policy: Frame-ancestor „Self“ konfiguriert sind.
    • Wenn eine Übereinstimmung vorhanden ist, fügen Sie die übereinstimmende URL als X-Frame-Options: ALLOW-FROM URL1 (X-Frame-Optionen: ALLOW-FROM URL1) ein.
    • Wenn kein Referrer-Header vorhanden ist, werden die ersten nicht-Platzhalterbasierten Host-URLs verwendet, die im URL2-Header „Content-Security-Policy: Frame-ancestor „Self“ konfiguriert sind.
    Hinweis:
    Fügen Sie beim Konfigurieren von URLs keinen Schrägstrich am Ende der URL hinzu.
    • Dieses Beispiel für eine falsche Konfiguration, die mit dieser speziellen Behandlung möglicherweise nicht ordnungsgemäß funktioniert:
      • Name: Content-Security-Policy
      • Wert: Frame-Vorgänger „Self“ https://microsoft.com/
    • Verwenden Sie stattdessen die richtige Syntax:
      • Name: Content-Security-Policy
      • Wert: Frame-Vorgänger „Self“ https://microsoft.com