X-Frame-Options du client incorporé de Virtual Agent (renforcement de la sécurité de l’instance)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez cette com.glide.cs.embed.xframe_options propriété pour activer la configuration de l’en-tête X-Frame uniquement pour la page https://<votre-instance>.service-now.com/sn_va_web_client_app_embed.do .

    Le module d’extension Virtual Agent permet d’incorporer un client dans une page Web externe. Pour permettre l’intégration de la page client dans la page Web, l’en-tête X-Frame-Options doit permettre d’inclure l’iframe dans le cadre parent.
    Remarque :
    Évitez d’utiliser allow-from * comme valeur d’en-tête X-Frame-Options, car cela activerait tous les domaines et rendrait l’application potentiellement vulnérable au détournement de clic.

    En savoir plus

    Attribut Description
    Nom de la propriété com.glide.cs.embed.xframe_options
    Type de configuration Propriétés système (/sys_properties_list.do)
    Configurer dans le centre de sécurité de l’instance Non
    Objectif Pour activer la spécification de la directive pour l’en-tête X-Frame-Options pour la page Agent virtuel intégrable.
    Valeur recommandée Origine identique
    Impact fonctionnel (Élevé) Le client incorporable d’Agent virtuel ne peut pas être incorporé dans des sites externes à moins que l’en-tête X-Frame-Options ne soit configuré correctement.
    Risque de sécurité (Moyen) Si elle n’est pas configurée correctement (en autorisant tous les cadres parents), elle peut rendre la page client intégrable vulnérable au détournement de clic.
    Références

    Incorporer le client Web de l’Agent virtuel dans une page Web externe

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.