Implémenter x-frame-options : en-tête de sécurité SAMEORIGIN

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez la glide.set_x_frame_options propriété pour définir l’en-tête de réponse X-Frame-Options sur SAMEORIGIN pour toutes les pages de l’interface utilisateur.

    Utilisez l’en-tête de réponse HTTP X-Frame-Options pour indiquer si le navigateur doit être autorisé à rendre une page dans un <frame> ou <iframe>. Les sites peuvent utiliser cette fonction pour éviter les attaques de détournement de clic en s’assurant que leur contenu n’est pas intégré dans d’autres sites. Un attaquant pourrait intégrer votre page dans sa propre page et faire en sorte que les éléments de votre page fonctionnent de manière malveillante. L’utilisateur final peut penser que la page est légitime parce qu’elle ressemble à votre page. L’utilisateur final peut cliquer sur des éléments comme d’habitude uniquement pour exécuter des scripts ou des éléments malveillants.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.set_x_frame_options
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Configuration
    Objectif Pour atténuer les attaques de ClickJacking.
    Valeur recommandée VRAI
    Cote de risque de sécurité 7.1
    Impact fonctionnel (Faible) Cette correction applique la restriction pour le rendu d’une Now Platform application dans une application tierce sous la forme d’un iFrame. Si vous disposez d’une telle intégration, l’application ne s’affichera pas dans l’application tierce personnalisée.
    Risque de sécurité (Moyen) La politique Même origine vous permet d’empêcher un domaine de récupérer un script ou une ressource d’un autre domaine. Tous les navigateurs modernes prennent en charge cette fonctionnalité.
    La politique valide la connexion en fonction du protocole, du port et de l’hôte. CORS (Cross Origin Request) est une modification de la stratégie de même origine qui permet d’accéder aux ressources/scripts à partir d’un autre domaine lorsqu’il est explicitement indiqué dans le cadre d’une valeur d’en-tête.
    • Dans ce cas, l’en-tête X-Frame-Options contrôle si l’application Now Platform peut être rendue sur le site Web tiers.
    • Cela réduit l’exposition sensible, car la valeur de propriété, lorsqu’elle est définie sur SAMEORIGIN , n’active pas le rendu.
    Références

    Propriétés système disponibles

    Configurer les iFrames

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.